Sempre più spesso gli hacker colpiscono gli smartphone – e quelli Android in particolare – per carpire il denaro delle vittime o, diversamente, generare facili guadagni a proprio vantaggio e ad altrui danno. Ciò è accaduto anche negli ultimi tempi, come segnalato da alcuni alert delle security house Trend Micro ed Eset.
I programmatori della nipponica Trend Micro hanno scoperto, nel Play Store di Android, due pericolosi bankware, BatterySaverMobi e Currency Converter, rispettivamente un ottimizzatore della batteria ed un convertitore di valuta, che miravano ad acquisire i dati delle carte di credito e le credenziali di accesso agli online banking con meccanismi molto diversi rispetto al passato.
Innanzitutto, le due app – per fortuna poco diffuse (la prima è stata scaricata 5.000 volte e godeva di una 70ina di altissime recensioni farlocche) – entravano in azione solo sugli smartphone reali, ritenuti tali in base alla presenza del sensore di movimento: in assenza di tale condizione, pensando di essere analizzate nell’ambiente simulato di un antivirus, restavano inoffensive. Come primo passo, BatterySaverMobi e Currency Converter, tramite alcune finte notifiche per Twitter o Telegram, proponevano un finto aggiornamento per Android che, in realtà, faceva partire il download del malware Anubis.
Questi, giunto sul device delle vittime, entrava in azione con un modulo keylogger, per registrare tutto quel che si digitava, e scattava diversi screenshot del display: in tal modo, avrebbe colpito in 93 nazioni le 377 app di home banking di altrettanti istituti bancari.
In più, poteva anche inviare SMS a pagamento, eseguire telefonate, scovare la posizione GPS dell’utente, ed attuare audio registrazioni ambientali (a scopo ricatto). Persino le mansioni da ransomware non erano trascurate, visto che Anubis criptava localmente (con estensione Anubiscrypt) i dati dell’utente per potergli chiedere un riscatto. Una volta segnalate a Google, tali app sono state prontamente rimosse dal relativo app store mobile.
Non così è accaduto per quanto segnalato dalla security house slovacca Eset, che da almeno un mese ha segnalato a Google, senza riscontro alcuno da parte di Mountain View (che teoricamente vieterebbe l’imitazione o la clonazione di prodotti o servizi corrispondenti ai propri), la presenza – nel ristretto novero delle app con più di un milione di installazioni – di oltre 15 finti navigatori GPS nel suo Store. Tali applicazioni, con nomi generici quali “GPS, mappe e navigazione”, o Mappe GPS, Route Finder – Navigazione, indicazioni stradali”, millantano funzionalità di navigazione quando, in realtà, si limitano a usare l’API delle Google Maps per mostrare i percorsi, infarcendo il tutto di pubblicità dalle quali i rispettivi programmatori senza scrupoli guadagnano soldi facili.