Una delle caratteristiche principali degli hacker, come confermato anche dall’esperto di sicurezza Alessio Pennasilico, è quella di essere sempre sul pezzo, “adeguando i contenuti al contesto contingente“: ciò, durante la prima ondata di coronavirus, aveva portato a specifiche mail di phishing mentre, di recente, si è tradotto persino in una falsa app Immuni, ospitata all’interno di un falso Play Store.
La minaccia informatica in questione è stata scoperta dal Computer Emergency Response Team, CERT, dell’Agenzia per l’Italia Digitale, che aveva individuato un Play Store finto, presso il dominio Play Google Service (ad oggi irraggiungibile), registrato non più di una decina di giorni fa, usando il certificati crittografici (gratuiti e a tempo limitato) Let’s Encrypt. Su tale app market, erano presenti diverse “pagine”, ognuna delle quali dedicata al download di un’app, ovviamente fake, riproduzione di un’equivalente famoso, che spesso prendeva di mira note soluzioni per l’home banking, tra cui Intesa San Paolo, Credem, InBank, senza dimenticare alcune piattaforme per l’e-shopping, come Amazon e PayPal, con l’evidente scopo di svuotare i conti correnti degli utenti.
Tra le applicazioni imitate, risultava essere presente anche Immuni, l’app di tracciamento anti coronavirus che, proprio in quel periodo, ha avuto un picco di installazioni, che l’ha portata a raggiungere quota 10 milioni di utilizzatori: all’interno di tutte le finte app in oggetto risultava essere presente un virus, non ancora campionato, forse derivato dal malware polifunzionale Anubis, stante la capacità di usare il servizio di accessibilità, il criptare (via algoritmo di cifratura RC4) tutte le proprie funzioni in una particolare cartella dell’apk, e lo scaricare di un ulteriore file apk.
Per fortuna, oltre al fatto che il dominio del finto Play Store è stato rapidamente messo off-line, essere contagiati dall’attacco rendicontato era piuttosto difficile, dacché richiedeva l’intervento dell’utente che, invitato a scaricare una data app via social o collegamento in messaggistica, alla fine – nel tentativo di installarla (dopo averla cercata nello storage locale del proprio device) – doveva abilitare l’operazione anche da “fonti sconosciute” (cioè esterne al Play Store vero).
Nell’eventualità che il finto dominio Play Google Service emerga nuovamente, registrato altrove, col suo carico di app finte, è bene prestare attenzione a dove si esegue il download di un’app, evitando di installarne di inutili, e non abilitando il ricorso alle fonti sconosciute ma, soprattutto, tenendo alta la guardia.