Si chiamano Joker, Facestealer e Coper i tre malware bancari occultati in applicazioni apparentemente “innocue” disponibili sul Google Play Store, una brutta piaga per un luogo generalmente considerato come la fonte più sicura per la ricerca e l’installazione delle app sui dispositivi Android

A scovarli sono stati i ricercatori del team di Zscaler ThreatLabz che hanno pubblicato una lunga lista di applicazioni, sfruttate da questi pericolosi malware bancari, come tramite per infettare i dispositivi degli utenti ignari.

Ma oltre a descrivere il problema, il modo di agire dei malware e le app in cui si nascondevano, il team Zscaler ha subito allertato il team Google dedicato alla sicurezza di Android che ha prontamente rimosso le app dannose dal Google Play Store.

Joker: come agisce e le app coinvolte

Joker fa parte di una delle famiglie malware più importanti nel panorama Android e nonostante la diffusione e l’ampia letteratura sul caso, continua a farsi strada all’interno dell’app store di Google, mutando costantemente e riuscendo a sfuggire a controlli sempre più stringenti.

Joker è progettato per rubare messaggi di testo (SMS), elenchi di contatti e informazioni sul dispositivo, con lo scopo di iscrivere la vittima a servizi WAP (Wireless Application Protocol) di tipo premium, ovvero a pagamento.

Finora ThreatLabz ha scoperto, sul Play Store, oltre 50 app diverse che veicolavano Joker all’interno dei dispositivi, ma il dato ancor più allarmante è che, in totale, queste sono state scaricate oltre 300.000 volte: le app, rientrano in categorie come Comunicazione (47,1%), Strumenti (39,2%), Personalizzazione (5,9%), Fotografia e Salute.

Per fare qualche nome:

  • Universal PDF Scanner (com.unpdf.scan.read.docscanuiver);
  • Text Emoji SMS (messenger.itext.emoji.mesenger); Blood Pressure Checker (com.bloodpressurechecker.tangjiang); Memory Silent Camera (com.silentmenory.timcamera); Instant Messenger (com.sbdlsms.crazymessager.mmsrec); Magic Photo Editor (com.amagiczy.photo.editor); All Language Translate (com.exclusivez.alltranslate) ecc.

Facestealer ruba la credenziali di Facebook

Salito agli onori della cronaca per aver preso di mira gli utenti del social network Facebook tramite schermate di accesso false, Facestealer infetta il dispositivo e poi chiede all’utente di accedere a Facebook con le proprie credenziali che verranno prontamente rubate (assieme ai token di autenticazione) dall’autore del malware stesso.

Sul Google Play Store, il team di ThreatLabz ha scoperto un’app, cam.vanilla.snapp (categoria Strumenti), che iniettava codice java dannoso e rubava le credenziali di Facebook (tramite la pagina di accesso falsa), indirizzandole poi ad un server esterno.

Anche in questo caso, l’app è stata prontamente rimossa ma, prima della rimozione, era stata scaricata e installata ben 5000 volte.

Coper è un trojan che prende di mira le app bancarie

Coper è un trojan che, travestendosi da app legittima presente sul Google Play Store, una volta installato, scatena l’infezione sul dispositivo ed è in grado di intercettare messaggi di testo (SMS), effettuare richieste USSD (Unstructured Supplementary Service Data) per inviare messaggi, keylogging, bloccare/sbloccare il dispositivo, eseguire ulteriori attacchi, prevenire disinstallazioni.

In sostanza, Coper consente ai malintenzionati di assumere il controllo totale del dispositivo infettato, tramite una connessione remota con l’obiettivo di rubare informazioni utili per sottrarre denaro alla vittime. 

All’interno del Google Play Store, il team di ricerca di ThreatLabz ha scovato un’app chiamata Unicc QR Scanner (com.qrdscannerratedx) che, travestendosi da scanner gratuito per codici QR, una volta installata, richiedeva all’utente di aggiornare l’applicazione e di concedere ulteriori autorizzazioni; così l’utente apriva le porta, a sua insaputa, al processo di infezione del dispositivo.

Aperta la porta, sul dispositivo venivano iniettate ulteriori porzioni di codice dannoso e altro materiale utile a completare il processo che avrebbe permesso di prelevare tutte le informazioni utili per l’accesso ai conti bancari degli utenti.

Come proteggersi dagli attacchi hacker

Procedere alla immediata disinstallazione delle app veicolo dei malware è necessario, ma non sufficiente a sbarazzarsi della minaccia, dal momento che alcune righe di codice malevolo potrebbero comunque essere state lasciate all’interno dello smartphone colpito.

Risulta fondamentale dunque: cambiare frequentemente le password dei propri account bancari; sfruttare l’autenticazione a due fattori tramite un secondo dispositivo per rendere più sicuro l’accesso ai vari servizi; verificare la provenienza delle app Android, anche quelle presenti sul Google Play Store, controllando le recensioni degli utenti e, magari, effettuando una ricerca sullo sviluppatore.

A cura di Cultur-e Costruisci il tuo futuro con la connessione Fastweb