Come appurato qualche giorno fa a proposito di quanto capitato a Linkedin, i dati personali degli utenti sono una delle merci più pregiate per gli hacker che, come argilla, possono forgiarli per trarne mille diverse truffe. Non stupisce quindi sia proprio riguardante dei dati personali, e precisamente delle credenziali social una nuova emergenza informatica, portata all’attenzione dai laboratori software della security house russa Doctor Web autrice del noto antivirus Dr. Web.
Gli esperti in questione hanno scoperto una decina di applicazioni Android, gran parte delle quali celate nel Play Store di Android (ad eccezione di PIP Photo, leader con circa 5 milioni di installazioni), complessivamente scaricate oltre 5.8 milioni di volte: le app in questione, in alcuni casi riguardanti oroscopi, lucchetti digitali per tenere file e app lontani da occhi indiscreti, ma anche tool di fotoritocco, debitamente elencate sul sito dell’antivirus menzionato, erano in alcuni casi realizzate nativamente per Android e, in altri casi, ottenute tramite il framework Flutter, usato per generare app multi-piattaforma.
Al di là di questo, il fatto che impiegassero un medesimo javascript le accomuna come affette da uno stesso malware, Android.PWS.Facebook, cadenzato in diverse varianti, di probabile origine cinese (visto che in un caso, Android.PWS.Facebook.15) presentava un file di registro redatto in cinese.
Una volta installata una delle app coinvolte, queste ultime funzionavano normalmente anche se, per rimuovere gli annunci in-app, richiedevano di effettuare il login con un verisimile form di ingresso facebookiano, formato da un modulo scritto nel linguaggio javascript che, però, inviava le credenziali digitate dall’ignaro utente non a Menlo Park, ma al server di controllo e comando remoto gestito direttamente dagli hacker autori dell’inganno.
Doctor Web ha reso noto d’aver avvertito per tempo Google, che ha rimosso – per sua pertinenza – le app malevoli presenti nel Play Store e bannato gli account degli sviluppatori (che dovranno registrarne altri, al prezzo di 25 euro cadauno, per proseguire nell’attacco): gli utenti, dopo averne appurata la presenza nell’elenco delle proprie app presente tra le impostazioni del proprio telefono, possono procedere a rimuoverle manualmente, effettuando, come cautela aggiuntiva, una scansione con un buon antivirus installato ed aggiornato localmente.