fbpx
NewsTech

Ecco le app del Play Store che rubavano credenziali bancarie

Queste app sono state scaricate 300.000 volte: prima, però, sembravano innocue

Un gruppo di ricercatori ha scoperto un gruppo di app, scaricate dal Play Store circa 300.000 volte, che in seguito si sono rivelate dei trojan bancari. Le suddette applicazioni, apparentemente innocue, in realtà rubavano credenziali bancarie agli utenti e registravano le sequenze di tasti. Scopriamo tutti i dettagli.

Play Store: queste app sono state scaricate 300.000 volte ma erano trojan bancari

Le app – che si presentano come scanner QR, scanner PDF e portafogli di criptovalute – appartenevano a quattro famiglie separate di malware Android distribuite nel corso di quattro mesi. I malintenzionati hanno usato diversi trucchi per aggirare le restrizioni che Google ha escogitato nel tentativo di tenere a freno l’incessante distribuzione di app fraudolente nel suo mercato ufficiale.

“Ciò che rende queste campagne di distribuzione di Google Play molto difficili da rilevare da una prospettiva di automazione (sandbox) e di apprendimento automatico è che le app dropper hanno tutte un’impronta maligna molto piccola”, hanno scritto in un post i ricercatori della società di sicurezza mobile ThreatFabric. “Questa piccola impronta è una conseguenza (diretta) delle restrizioni di autorizzazione applicate da Google Play”.

Ecco cosa significa. Le campagne hanno inizialmente consegnato un’app innocua. Dopo che l’app è stata installata, gli utenti hanno ricevuto messaggi che li spingevano a scaricare aggiornamenti con funzioni aggiuntive. Le app spesso richiedevano aggiornamenti da scaricare da fonti di terze parti ma a quel punto, molti utenti si fidavano senza problemi. La maggior parte delle app inizialmente aveva zero rilevamenti da parte dei malware checker disponibili su VirusTotal.

Oltretutto, in molti casi, gli operatori di malware hanno installato manualmente aggiornamenti dannosi solo dopo aver controllato la posizione geografica del telefono infetto.

Il malware più pericoloso

La famiglia di malware responsabile del maggior numero di infezioni è nota come Anatsa. Questo “trojan bancario Android piuttosto avanzato” offre una varietà di capacità, tra cui accesso remoto e sistemi di trasferimento automatico, che svuotano automaticamente i conti delle vittime e inviano il contenuto a conti appartenenti agli operatori del malware.

I ricercatori hanno scritto:

Il processo di infezione con Anatsa si presenta così: all’inizio dell’installazione da Google Play, l’utente è costretto ad aggiornare l’app per continuare ad usarla. In questo momento, il carico utile di Anatsa viene scaricato dal server C2 e installato sul dispositivo dell’ignara vittima.

Gli attori dietro di esso si sono preoccupati di far sembrare le loro app legittime e utili. Ci sono un gran numero di recensioni positive per le app. Il numero di installazioni e la presenza di recensioni possono convincere gli utenti Android a installare l’app. Inoltre, queste app possiedono effettivamente la funzionalità dichiarata; dopo l’installazione, funzionano normalmente e convincono ulteriormente la vittima della loro legittimità.

Nonostante il numero schiacciante di installazioni, non tutti i dispositivi che hanno installato questi dropper riceveranno Anatsa, poiché i malintenzionati si sono impegnati solo per colpire le regioni di loro interesse.

Per concludere, i ricercatori hanno trovato altre tre famiglie di malware: Alien, Hydra ed Ermac. Uno dei dropper utilizzati per scaricare e installare payload dannosi era noto come Gymdrop. Utilizzava regole di filtro basate sul modello del dispositivo infetto per prevenire il targeting dei dispositivi di ricerca.

Le app colpevoli

Two Factor Authenticatorcom.flowdivisona3bd136f14cc38d6647020b2632bc35f21fc643c0d3741caaf92f48df0fc6997
Protection Guardcom.protectionguard.appd3dc4e22611ed20d700b6dd292ffddbc595c42453f18879f2ae4693a4d4d925a
QR CreatorScannercom.ready.qrscanner.mixed537f8686824595cb3ae45f0e659437b3ae96c0a04203482d80a3e51dd915ab
Master Scanner Livecom.multifuction.combine.qr7aa60296b771bdf6f2b52ad62ffd2176dc66cb38b4e6d2b658496a6754650ad4
QR Scanner 2021com.qr.code.generate2db34aa26b1ca5b3619a0cf26d166ae9e85a98babf1bc41f784389ccc6f54afb
QR Scannercom.qr.barqr.scangend4e9a95719e4b4748dba1338fdc5e4c7622b029bbcd9aac8a1caec30b5508db4
PDF Document Scanner – Scan to PDFcom.xaviermuches.docscannerpro22080061fe7f219fa0ed6e4c765a12a5bc2075d18482fa8cf27f7a090deca54c5
PDF Document Scannercom.docscanverifier.mobile974eb933d687a9dd3539b97821a6a777a8e5b4d65e1f32092d5ae30991d4b544
PDF Document Scanner Freecom.doscanner.mobile16c3123574523a3f1fb24bbe6748e957afff21bef0e05cdb3b3e601a753b8f9d
CryptoTrackercryptolistapp.app.com.cryptotracker1aafe8407e52dc4a27ea800577d0eae3d389cb61af54e0d69b89639115d5273c
Gym and Fitness Trainercom.gym.trainer.jeux30ee6f4ea71958c2b8d3c98a73408979f8179159acccc01b6fd53ccb20579b6b
Gym and Fitness Trainercom.gym.trainer.jeuxb3c408eafe73cad0bb989135169a8314aae656357501683678eff9be9bcc618f
Offerta
Kaspersky Internet Security 2022 | 1 Dispositivo | 1 Anno |...
  • Difende da virus, cryptolocker e altri ransomware
  • Protegge la tua privacy
  • Protegge i tuoi acquisti online
Source
Arstechnica

Veronica Ronnie Lorenzini

Videogiochi, serie tv ad ogni ora del giorno, film e una tazza di thé caldo: ripetere, se necessario.

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button