Iscriviti

Emergenza: scoperte app che rubano dati bancari e diffondono altro malware

Alcune delle app scoperte su un noto store di software mobile permettevano, secondo gli analisti di TrendMicro, di rubare importanti dati bancari ma anche di scaricare e diffondere malware per conto terzi, per causare ulteriori danni.

Software e App
Pubblicato il 31 luglio 2022, alle ore 17:33

Mi piace
2
0
Emergenza: scoperte app che rubano dati bancari e diffondono altro malware

Ascolta questo articolo

In genere, si tende a pensare che le applicazioni pubblicate sul Play Store di Android siano tutte sicure. Tuttavia, la capacità di occultamento e offuscamento di alcune di esse ha permesso in più casi aggirare i controlli di sicurezza digitale di Google, e di accedere alla pubblicazione, finendo nella disponibilità degli utenti. Esattamente come capitato con una campagna virale rendicontata dal team della giapponese TrendMicro.

I labs della security house nipponica hanno riscontrato che una delle categorie di trojan bancari più diffusi è quella dei dropper, in grado di rubare ogni sorta d’informazione (password, SMS magari per captare i codici d’autenticazione monouso, tutto quello che viene digitato sullo schermo, password, PIN, etc) per far danni sulle app di home banking, ma anche per aiutare nell’installare e diffondere malware altrui, configurandosi in tal modo come dei DaaP, dropper as a service. Ordunque, una variante di tali malware, battezzata DawDropper, è stata riscontrata in diverse app, alcune delle quali cloni di app note (mentre altre erano del tutto sconosciute).

Le app coinvolte, poco meno di una ventina, debitamente listate sul sito di TrendMicro, appartenevano a categorie comuni, basti pensare alle app che promettevano una VPN protetta gratuita, a diverse app di pulizia dai file inutili, a quelle per scansionare documenti o codici QR, agli editor di foto, ai registratori di chiamate e financo alle utility relative alle criptovalute

Una volta installate, tali app pericolose, però, oltre a inviare a server remoti le informazioni bancarie di cui sopra, procedevano anche a usare il Firebase Realtime Database, un sevizio cloud di terze parti che, oltre a essere utile per eludere i rilevamenti, otteneva in modo dinamico l’indirizzo di scaricamento di ben noti payload malevoli, tra cui TeaBot, Octo (Coper, capace anche di disabilitare il Google Play Protect), Ermac, Hydra, scaricati da archivi situati presso GitHub. 

In seguito alla segnalazione, Google ha rimosso tutte le app incriminate dal suo Play Store, anche se, per la rimozione in locale delle stesse, come in tanti altri casi, dovrà attivarsi l’utente colpito, eseguendo poi una passata di antivirus sul proprio terminale ripulito. 

Video interessanti:
Cosa ne pensa l’autore
Fabrizio Ferrara

Fabrizio Ferrara - Le categorie di virus spesso si ibridano tra loro: quella delle app ospitanti il DawDropper è una minaccia riconducibile a questa casistica, visto che con esse i pirati rubano info, scaricavano e diffondevano malware altrui. Ormai non si può neanche più dire che è bene limitarsi a scaricare dal Play Store: bisogna tener gli occhi bene aperti e sospettare di ogni piccolo dettaglio che non torni.

Lascia un tuo commento
Commenti

Non ci sono ancora commenti su questo contenuto. Scrivi la tua opinione per primo!