App per QR Code e PDF su Android con Malware, alcune hanno rubato i dati bancari di 300mila persone.
Alcuni ricercatori di sicurezza hanno scoperto delle app infette scaricabili direttamente dal Play Store di Google. E’ particolarmente sofisticato l’attacco: l’app inizialmente era pulita, ma gli aggiornamenti in-app scaricavano il trojan in un secondo momento.
Dodici app infette, regolarmente su Play Store e scaricate più di 300 mila volte. È quanto hanno trovato alcuni ricercatori di sicurezza del gruppo ThreatFabric.
Sebbene i controlli sul Google Play Store siano diventati più affidabili nel captare la presenza di malware nelle app, i malintenzionati trovano sempre nuovi modi per portare contenuti maligni all’interno degli smartphone degli ignari utenti, che si possono ritrovare da un momento all’altro depredati di informazioni bancarie e dati personali.
La buona notizia è che Google è già intervenuta. mettendoci una pezza.
A rendere particolarmente insidiose le app è soprattutto il meccanismo scelto per inoculare il trojan: le applicazioni in origine sono perfettamente funzionanti e pulite, visto che il virus non è presente nel codice ma viene scaricato in un secondo momento. Le applicazioni incriminate utilizzano un metodo particolarmente ingegnoso per non essere riconosciute come malevole dagli scan di Google, ormai quasi completamente automatizzati in base ad algoritmi di machine learning che analizzano il numero e il tipo di autorizzazioni richieste dalle applicazioni per poter funzionare.
Per aggirare i sistemi di controllo, infatti, queste applicazioni si presentano come scanner di codici QR o documenti PDF, assistenti per il fitness o addirittura “portafogli” per le criptovalute: tutti servizi che richiedono accesso solo all’archiviazione o alla fotocamera e risultano pertanto innocue agli occhi di Google.
Le app “pulite” nel Play Store e poi infettate successivamente.
Dopo qualche giorno di utilizzo, infatti, dall’interno dell’app arriva la richiesta di scaricare degli aggiornamenti per continuare ad utilizzare l’app. Durante questa fase di aggiornamento si scaricava poi il trojan che puntava a carpire password, PIN e codici di autenticazione dei conti bancari.
In alcuni casi gli attacchi sono stati così selettivi da andare ad installare il malware, sempre con il meccanismo degli aggiornamenti fasulli, solo sugli smartphone di utenti in determinate aree geografiche, tralasciando quelli di aree geografiche non ritenute interessanti.
“Questa incredibile attenzione dedicata ad evitare attenzioni indesiderate rende il rilevamento automatizzato del malware molto più difficile” ha dichiarato uno dei ricercatori. “Anche l’analisi dell’apk con VirusTotal non ha rilevato nulla di anomalo”.
I ricercatori hanno scoperto, finora, dodici app infette che Google ha già provveduto a rimuovere.
Nello specifico, si chiamano Two Factor Authenticator, Protection Guard, QR CreatorScanner, Master Scanner Live, QR Scanner 2021, QR Scanner, PDF Document Scanner – Scan to PDF, PDF Document Scanner, PDF Document Scanner Free e CryptoTracker.
Il grosso dei download, però, riguardava due app di fitness, entrambe chiamate Gym and Fitness Trainer. In questo caso era facile carpire la fiducia degli utenti chiedendo di scaricare nuovi esercizi. Il computo totale dei download passa i 300 mila anche se, come visto, non tutti i download hanno portato poi all’attivazione del trojan.
Anche se i ricercatori di sicurezza non hanno dati certi, è molto probabile che, dato il particolare modus operandi degli attaccanti, circolino ancora delle app infette di questo tipo.
Il consiglio che forniscono è di essere molto cauti nello scaricare un’app. Soprattutto se il numero di download è basso, e cercare di affidarsi il più possibile a soluzioni conosciute.
Due app di fitness avevano totalizzato più di 300 mila download
Il malware installato da queste applicazioni si chiama Anatsa e, fra le varie funzioni, garantisce l’accesso da remoto. Ed inoltre l’invio automatizzato di file dallo smartphone della vittima.
Sono stati rilevati, inoltre, altri tipi di malware come Alien, Hydra, Ermac e Gymdrop, sempre della stessa tipologia di Anatsa. Tutti i malware sfruttavano il meccanismo degli aggiornamenti falsi.
___
Continua a seguirci il sul nostro sito e sulla nostra pagina facebook e, per essere sempre aggiornato, iscriviti al nostro canale Telegram
