App apparentemente innocue disponibili al download sul Google Play Store sono infette da trojan bancari. È questa la notizia che sta spaventando tutti gli utenti con dispositivo Android. Ad averla rivelata è stato un rapporto di BleepingComputer, basato su uno studio di Zimperium.
La pericolosità di queste app infette è che attivano la minaccia non appena l’utente avvia un’applicazione bancaria o finanziaria legittima. In quel preciso istante il trojan bancario, che ha preso possesso del device, fa comparire una pagina fraudolenta di accesso.
Una volta che l’utente inserisce le credenziali, il malware attende le notifiche per carpire l’OTP. Nel frattempo è già in grado di operare eseguendo frodi finanziarie per il furto di denaro e dei dati personali e bancari della vittima che, ignara di tutto, non si accorge di nulla.
L’aspetto più pericoloso di queste minacce è che i trojan bancari si nascondono dentro insospettabili app presenti sul Google Play Store. In pratica, oltre il danno c’è anche la beffa perché qualsiasi utente pensa che si tratti di applicazioni controllate e sane.
Google Play Store: diverse app contengono i 10 trojan più produttivi
Un ulteriore aspetto emerso dallo studio di BleepingComputer è che ognuna di queste app infette, presenti nel Google Play Store, contiene uno tra i 10 trojan più prolifici. Ecco l’elenco citato nel rapporto ufficiale:
- BianLian: prende di mira Binance, BBVA e una gamma di app turche. Una nuova versione del trojan scoperta nell’aprile 2022 include il bypass di photoTAN, che è considerato un metodo di autenticazione forte nell’online banking;
- Cabassous: prende di mira Barclays, CommBank, Halifax, Lloys e Santander. Utilizza l’algoritmo di generazione del dominio (DGA) per eludere il rilevamento e le rimozioni;
- Coper: prende di mira BBVA, Caixa Bank, CommBank e Santander. Monitora attivamente la “lista consentita” di ottimizzazione della batteria del dispositivo e la modifica per esentarsi dalle restrizioni;
- EventBot: ha come target Barclays, Intensa, BancoPosta e varie altre app italiane. Si nasconde come Microsoft Word o Adobe Flash e può scaricare nuovi moduli malware da fonti remote;
- Exobot: prende di mira PayPal, Binance, Cash App, Barclays, BBVA e CaixaBank. È molto piccolo e leggero perché utilizza librerie di sistema condivise e recupera gli overlay dal C2 solo quando necessario;
- FluBot: mira a BBVA, Caixa, Santander e varie altre app spagnole. Il trojan botnet era noto per la sua rapida distribuzione tramite SMS ed elenchi di contatti di dispositivi compromessi.
- Medusa: prende di mira BBVA, CaixaBank, Ziraat e una gamma di app bancarie turche. Può eseguire frodi sul dispositivo abusando del servizio di accessibilità per agire come un normale utente per conto della vittima;
- Sharkbot: prende di mira Binance, BBVA e Coinbase. È dotato di un ricco set di funzionalità di evasione del rilevamento e anti-cancellazione, oltre a una forte crittografia della comunicazione C2;
- Teabot: prende di mira PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile e Coinbase. È dotato di un keylogger speciale per ogni app e lo carica quando l’utente lo avvia;
- Xenomorph: prende di mira BBVA e varie app bancarie con sede nell’UE. Può anche fungere da contagocce per recuperare malware aggiuntivo sul dispositivo compromesso.
Come difendersi
A ragione molti di voi staranno pensando quanto sia difficile difendersi se il Google Play Store stesso è stato violato da queste app infette. Effettivamente è così. Non si tratta di un’impresa facile riconoscere quelle sane da quelle pericolose che contengono un trojan bancario.
Nondimeno, ad esempio, è possibile verificare l’attendibilità dello sviluppatore leggendo le recensioni più recenti. Ma anche questo metodo può essere un’arma a doppio taglio. Quindi il nostro consiglio è quello di affidarsi a un sistema antivirus che integri il controllo delle applicazioni scaricate dal Google Play Store prima che l’utente possa aprirle.
Uno dei migliori è AVG. La sua esperienza pluriennale in sistemi di sicurezza e la capacità di integrarsi molto bene anche con i sistemi Android fa della sua applicazione una pietra miliare per la protezione dalle app pericolose. Infatti, una volta scaricata l’applicazione, in fase di installazione, il suo sistema vi avvertirà se è sana o infetta.
