Iscriviti

Attenzione: scoperto finto Play Store con app fake (Immuni compresa)

In collaborazione con la security house D3Lab, il CERT dell'AgID ha scoperto l'esistenza di un finto Play Store, dal quale era possibile scaricare imitazioni di note app, bancarie ma non solo, come confermato dalla presenza di una falsa versione di Immuni.

Software e App
Pubblicato il 25 novembre 2020, alle ore 09:21

Mi piace
6
0
Attenzione: scoperto finto Play Store con app fake (Immuni compresa)

Una delle caratteristiche principali degli hacker, come confermato anche dall’esperto di sicurezza Alessio Pennasilico, è quella di essere sempre sul pezzo, “adeguando i contenuti al contesto contingente“: ciò, durante la prima ondata di coronavirus, aveva portato a specifiche mail di phishing mentre, di recente, si è tradotto persino in una falsa app Immuni, ospitata all’interno di un falso Play Store.

La minaccia informatica in questione è stata scoperta dal Computer Emergency Response Team, CERT, dell’Agenzia per l’Italia Digitale, che aveva individuato un Play Store finto, presso il dominio Play Google Service (ad oggi irraggiungibile), registrato non più di una decina di giorni fa, usando il certificati crittografici (gratuiti e a tempo limitato) Let’s Encrypt. Su tale app market, erano presenti diverse “pagine”, ognuna delle quali dedicata al download di un’app, ovviamente fake, riproduzione di un’equivalente famoso, che spesso prendeva di mira note soluzioni per l’home banking, tra cui Intesa San Paolo, Credem, InBank, senza dimenticare alcune piattaforme per l’e-shopping, come Amazon e PayPal, con l’evidente scopo di svuotare i conti correnti degli utenti.

Tra le applicazioni imitate, risultava essere presente anche Immuni, l’app di tracciamento anti coronavirus che, proprio in quel periodo, ha avuto un picco di installazioni, che l’ha portata a raggiungere quota 10 milioni di utilizzatori: all’interno di tutte le finte app in oggetto risultava essere presente un virus, non ancora campionato, forse derivato dal malware polifunzionale Anubis, stante la capacità di usare il servizio di accessibilità, il criptare (via algoritmo di cifratura RC4) tutte le proprie funzioni in una particolare cartella dell’apk, e lo scaricare di un ulteriore file apk.

Per fortuna, oltre al fatto che il dominio del finto Play Store è stato rapidamente messo off-line, essere contagiati dall’attacco rendicontato era piuttosto difficile, dacché richiedeva l’intervento dell’utente che, invitato a scaricare una data app via social o collegamento in messaggistica, alla fine – nel tentativo di installarla (dopo averla cercata nello storage locale del proprio device) – doveva abilitare l’operazione anche da “fonti sconosciute” (cioè esterne al Play Store vero).

Nell’eventualità che il finto dominio Play Google Service emerga nuovamente, registrato altrove, col suo carico di app finte, è bene prestare attenzione a dove si esegue il download di un’app, evitando di installarne di inutili, e non abilitando il ricorso alle fonti sconosciute ma, soprattutto, tenendo alta la guardia. 

Video interessanti:
Cosa ne pensa l’autore
Fabrizio Ferrara

Fabrizio Ferrara - In effetti, è vero: gli hacker, con l'attacco di cui sopra, hanno dimostrato di essere attenti all'attualità ma, viste le app coinvolte, anche di conoscere bene la realtà italiana e, questo, potrebbe limitare il range delle indagini, per scoprire chi c'è dietro un attacco gravissimo che sarebbe potuto andare anche oltre il mero svuotamento di un conto corrente, posto che Anubis era anche capace di rubare dati personali, di segnarsi quel che l'utente digitava (keylogger), e di criptare le informazioni prendendole in ostaggio (ransomware).

Lascia un tuo commento
Commenti

Non ci sono ancora commenti su questo contenuto. Scrivi la tua opinione per primo!