Trittico di attacchi per Android, con i virus Trojan Dropper, AsiaHitGroup, e BankBot, che causano danni economici

Ormai da qualche tempo, il Play Protect dell'ex Play Market di Google sembra fare acqua da tutte le parti. Specialmente nell'ultimo periodo, in cui ben 3 virus hanno preso di mira gli utenti di Android, causando loro ingenti danni economici.

Trittico di attacchi per Android, con i virus Trojan Dropper, AsiaHitGroup, e BankBot, che causano danni economici

Android è il sistema operativo mobile più diffuso, con una certa predominanza della versione Nougat, e questo è un dato di fatto. Come lo è anche che il bene più prezioso che custodiamo sui nostri device mobili siano le informazioni che, direttamente o indirettamente, possono tradursi in moneta sonante. Se shakeriamo questi 2 banali assunti, risulta ben chiaro come mai, nelle scorse ore, Android sia stato preso di mira da ben 3 virus, noti come “Trojan Dropper“, “AsiaHitGroup“, e “BankBot“.

Trojan Dropper

Il primo virus, “Trojan Dropper”, è stato scoperto dalla security house slovacca Eset, specializzata in soluzioni antivirali per computer e smartphone, in ben 3000 dispositivi, nella maggior parte dei casi ubicati nei Paesi Bassi: tale infezione informatica si è diffusa ancora una volta dall’interno del Play Store, ove erano pubblicate 8 applicazioni compromesse, apparentemente insospettabili, sia per il loro ambito operativo (erano app di notizie, o per la pulizia dello smartphone), sia per il modo di aggirare il nuovo sistema di tutela androidiano “Play Protect“. Nello specifico, tali app si presentavano al download “immacolate” e, solo dopo l’installazione, una volta iniziate a funzionare come ci si sarebbe aspettato da loro, avviavano – in background – lo scaricamento di file malevoli.

A questo punto, proponevano di aggiornare qualcosa (lo stesso Android o il Flash Player) chiedendo, allo scopo, diverse autorizzazioni che avrebbero dovuto indurre qualche sospetto, visto che permettevano di leggere ed inviare messaggi (con la possibilità di venir iscritti a qualche abbonamento premium), leggere i contatti (prendendone nota per future sessioni di phishing), modificare ed eliminare il contenuto della memoria locale (dopo averlo adeguatamente inviato a un server remoto di comando e controllo). Tutto qui (si fa per dire)? Nient’affatto: questo era l’antipasto. Ottenuto queste autorizzazioni, Trojan Dropper provvedeva a scaricare malware come spyware e, magari, anche trojan bancari. Eset, in merito a questo attacco alla sicurezza degli utenti Android, ha fatto sapere d’aver già allertato per tempo Google che, d’altro canto, ha provveduto immantinente alla rimozione delle app incriminate. 

AsiaHitGroup

Sempre nel Play Store, la security house Malwarebytes ha scovato, nascosto in svariate app per l’editing delle foto, gli speed test, la scansione dei codici QR, e l’Esplora Risorse, il virus “AsiaHitGroup” che, una volta penetrato nel device assieme ad una di queste app compromesse, provvede prima a nascondersi, eliminando l’icona dalla HomeScreen e celandosi dietro un falso nome nel drawler e, poi, scoperto che l’utente magari si trova in Asia, grazie ad un servizio di ip-locator, provvede ad iscriverlo – via SMS – ad un servizio in abbonamento, che genera reddito per i criminali 2.0.

Secondo le ultime stime, la proporzione di questo secondo attacco alla sicurezza di Android sarebbe assai ampia, con un numero di vittime tra le 10.700 e le 22.000 ma, in compenso, visto il basso numero di versione delle app “untrici” (quasi sempre 1.0, o 1.0.1), è probabile che l’epidemia sia iniziata da poco, forse con piccoli aggiornamenti avvenuti tra Ottobre e Novembre.

L’ultimo virus di questa triste rassegna, capace di farci constatare quanto sia ben lungi dall’esser raggiunta la sicurezza nel Play Store androidiano, è “BankBot“, già comparso una prima volta a fine a Gennaio 2017 (rilevazione fatta da Dr. Web), ed una seconda volta lo scorso Settembre (grazie ad una falsa versione del gioco “Jewels Star”, scovata – per l’occasione – da Eset).

BankBot

Tale malware, oggi come allora, consente agli hacker di svuotare i nostri conti correnti. Per riuscirci, si avvale sia di una vera e propria app, chiamata “Crypto Currencies Market Prices” (una sorta di listino delle criptovalute), che di finte versioni delle principali app bancarie che, per grafica e funzionamento, somigliano del tutto a quelle reali, prese di mira: l’utente, ovviamente, dopo averle installate, inserisce i propri dati di ingresso e, pensando di averli inviati al server della propria banca, li ha semplicemente forniti ai malfattori che, d’ora innanzi, potranno accedere al nostro conto bancario per svuotarlo, tutto d’un colpo, o a piccole dosi, impiegando il nostro denaro per acquisti che non verranno notificati, o trasferendolo verso conti off-shore. 

Continua a leggere su Fidelity News