Malware in evoluzione: con i dropper il pericolo è dietro l'angolo sul Play Store

30 Ottobre 2022 61

Anche i malware evolvono, e lo fanno per eludere i sistemi di sicurezza più recenti e aggiornati che Google mette a difesa di Android, del Play Store e delle applicazioni in esso contenute. Il negozio virtuale è da sempre terreno fertile per questo tipo di pericolo, e nonostante gli sforzi condotti dagli esperti di Mountain View anche Android 13 è già caduto sotto gli attacchi dei malintenzionati.

La tecnica più utilizzata in questi ultimi tempi è quella dei malware dropper - contagocce - che sfrutta cioè app apparentemente innocue in quanto di per sé non contengono codice malevolo - e dunque possono passare senza problemi i controlli di Google - ma minano la sicurezza degli smartphone e degli ignari utenti rimandando l'introduzione del malware in un secondo momento, tramite un aggiornamento (falso) da completare attraverso una pagina fasulla del Play Store con cui avviene il collegamento ai servizi di accessibilità.

SHARKBOAT

E, come spesso accade, ad essere prese di mira sono le app bancarie e quelle appartenenti alla categoria finanza. Threat Fabric conferma il sempre più frequente sfruttamento di questa tipologia di tecnica identificando diverse app presenti sul Play Store che ne fanno uso. SharkBoat ad esempio è un trojan bancario capace di rubare dati personali ed SMS (questi ultimi specie per rintracciare i codici 2FA) e di prendere il controllo dello smartphone da remoto. Una delle app che lo nasconde è Codice Fiscale 2022, scaricata in Italia migliaia di volte senza che gli utenti si rendessero conto della sua pericolosità. Serve per il calcolo delle tasse, ma in realtà il suo obiettivo è tutt'altro.

Una volta scaricata e aperta, l'app richiede il download di un aggiornamento da un finto Play Store, con cui avviene l'installazione del malware all'interno del nostro smartphone. Facile cascarsi, perché la pagina appare del tutto uguale a quella originale. Anche l'app File Manager si comporta allo stesso modo e prende di mira banche in Italia, UK, Germania, Spagna, Polonia, Austria, Australia e Stati Uniti.

La schermata in cui viene chiesto l'aggiornamento che installa il malware
VULTUR

Non c'è solo SharkBoat come dropper: Vultur, ad esempio, è un trojan bancario tramite cui i malintenzionati riescono ad avere accesso allo streaming dello schermo da remoto e a registrare clic e gesture, rubando così le password compilate dall'utente. In questo caso la richiesta di aggiornamento dell'app (apparentemente innocua) avviene tramite un falso avviso di Google Play: una volta data l'autorizzazione, il malware viene scaricato. Le app individuate sono Recover Audio, Images & Videos, Zetter Authentication e My Finances Tracker: i dropper sono crittografati AES per nascondere le stringhe.

La "buona notizia" è che perché il malware venga installato - e questo vale sia per SharkBoat che per Vultur - si rende necessario un intervento manuale dell'utente. Quella cattiva, però, è che i falsi siti web che imitano il Play Store e gli avvisi sono talmente simili a quelli originali che è facile cadere nella trappola. Il consiglio è sempre quello di controllare l'URL con estrema cura prima di procedere e di non autorizzare gli aggiornamenti da fonti sconosciute.


61

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Roberto85

Dipende... Se l'IT è proprio un cogIione potenzialmente puoi farlo pure se ti ci connetti da remoto.

PyEr

Quindi dici che con il mio smartphone Samsung, su cui non ho installato giochi, non scarico immagini dal web, ho solo le app note(whatsapp, telegram, app intesa San Paolo, youtube, gmail...) non clicco su articoli di oroscopo, articoli con titoli scandalistici, vado solo su siti noti, per il meteo uso l'app di sistema, non vado sui p0rnazz1 pieni di pop-up fastidiosi, scarico gli allegati di posta solo da PC e solo da mittenti da cui mi aspetto qualcosa.....dopo tutto questo sono ancora a rischio? Mmm, capisco i timori ma...

Simone

Sì ma devi avere accesso fisico al pc però giusto?

E K

Aahh finalmente il darwinismo torna preponderante nel mondo dell'informatica.

meyinu

Secondo me quando avrai nella tua cerchia di conoscenti un individuo a cui hanno svuotato il suo conto corrente perché aveva tanta fiducia nella impronta digitale che gli proteggeva il c/c sul telefonino, allora ma solo allora un pensierino ce lo farai.

Forse la mia fiducia è mal riposta? ti chiederai.

Roberto85

Hai presente il "pianificatore eventi" di Windows? Quello contiene tutte le azioni programmate che il sistema esegue da solo (esempio banale, la ricerca di aggiornamenti, ma volendo puoi pure impostare che tutti i giorni si apra il blocco note alle 12 in punto). Con un semplice magheggio è possibile impostare azioni simili completamente invisibili a chiunque, quindi se l'IT ha configurato male i permessi o non ha pensato a questa possibilità è possibile eseguire azioni malevole senza installare nessun software e senza che nessuno se ne accorga.

Mariux Revolutions
SpiritoInquieto

In realtà l'applicazione Sicurezza usa le definizioni Avast, mi tengo alla larga dall'antivirus completo, con millemila funzioni inutili. A me basta che faccia una scansione all'installazione, con definizioni aggiornate.

Mariux Revolutions

Eh, peccato però che Avast ultimamente sia diventato proprio ciò a cui dava la caccia un tempo, con risultati di gran lunga migliori rispetto ad oggi.
Però vabbè, se a te non dà problemi, bene così

Vran

Anche con te non capisco proprio il senso di questo commento

Vran

Ti giuro che quello che hai scritto non ha senso e in più non pago quello che dici ahahahhah

Vran

Ma che ca%%o fumi ahahahha

meyinu

Io non esco con la cassaforte con tutti i miei averi nel borsello e magari lo dico pure nei forum o suoi social. Nessuno col sale in zucca si porta 70 mila euro in contanti nel borsello.

Truffa on line, rubati 70mila euro Svuotato il conto di un tabaccaio con la tecnica ’sim swap’.
TopperTop

ecco, sei arrivato agli insulti. er cipolla...bye bye ....parla con i tuoi pari, io non riesco ad arrivare......così in basso.

ErCipolla

Ma sei già ubriaco a queste ore? Scrivi frasi di senso compiuto se vuoi che ti risponda... ti ho spiegato perché non è possibile un controllo preventivo con un esempio che capirebbe anche un bambino, se non è chiaro chiedi delucidazioni invece di scrivere cose a caso.

TopperTop

bravo, tu si che sei uno sviluppatore con i fiocchi!!!

quindi tornando al primo post....se non sei in grado di controllare quel che viene pubblicato sul play store posso anche usare store alternativi.

ErCipolla
TopperTop

se anagrammi avast vedrai che viene Savat che è il nome del più grande hacker indothaigiapponorvegese. Questa cosa moltiplicata per il diametro della terra (che è piatta) porta dritti all'indirizzo web del play store finto nel quale è pubblicata l'app incriminata del sim swap con furtoo di retine e impronte digitali. Questo me lo ha detto un mio amico di secondo grado che ha lavorato part time con un noto sito che fa cover per iphone. 100% affidabbbile.

TopperTop

tipo controllarle prima di pubblicarle? e se hanno link o vengono modificate aggiungendo link controllare dove portano questi link?

troppo difficile per google???

TopperTop

allora non usciamo più di casa che se ci rubano il borsello ci prendono tutto, le chiavi di casa, entrano cambiano la serratura e poi dicono che è la loro.

Oh cribbio, non stiamo manco in casa che se ci entrano in casa e ci rapiscono poi ci fanno fare la combinazione della cassaforte sotto minaccia e prendono i documenti e vanno a fare il sim swap e il cambio conto e il cambio eredità e perdiamo tutto per sempre e siamo rovinatiiiiiiiiiiiiiiii

ErCipolla

E come fa Google a sapere in anticipo se una certa app in futuro manderà l'utente su un finto play store a scaricare un'altra app? Guarda che a Mountain View mica hanno la sfera di cristallo... più che bannare queste app una volta che vengono scoperte cosa vorresti che facessero?

TopperTop

si , io ho letto ...la prima è del play store....vuoi andare avanti?

ErCipolla

Lol, ma veramente, leggere prima di commentare sul serio è così faticoso?

Una volta scaricata e aperta, l'app richiede il download di un aggiornamento da un finto Play Store

in pratica l'app ti chiede di scaricare un secondo pacchetto da fuori store e installarlo a mano, ovvero installare da origini sconosciute.

TopperTop

si io ho letto bene, la prima è del play store

ErCipolla

No, leggi bene: si tratta di app scaricate dal play store che cercano di convincere l'utente a scaricare poi un'app da un sito web

SpiritoInquieto

Sei pazzo e pieno di fobie. Uso le app bancarie dal telefono e hanno lo stesso livello di sicurezza dei siti via PC. Anzi, MAGGIORE, perché non passano dati da browser potenzialmente con falle di sicurezza non ancora scoperte.

SpiritoInquieto

Io installo app da apkmirror, tipo le beta di WhatsApp.
L'antivirus integrato in Xiaomi, cioè Avast, credo sia sufficiente: analizza ogni programma dopo l'installazione. Ho visto che Avast ha i punteggi massimi sui siti di riferimento.
O secondo voi dovrei sostituirlo con altri antivirus?

Ma possono? Non rischiano di non ricevere più finanziamenti per gli articoli spam Apple se scrivono cose negative?

Sobotame Tanlistes

"Ma come si fa, con tutto quello che si sente/legge in giro?"

Ma chi? ma dove? ma cosa? noi che siamo qui su hdblog leggiamo queste notizie, altri che sono su altri siti simili/migliori leggono questi articoli, ma di che percentuale parliamo? Tg1,2,3,5,studio aperto, 7,skytg24,rainews, dimmi tu un telegiornale o una testata giornalistica conosciuta che parla di queste cose. Quanti articoli simi a questo fanno le famose testate giornalistiche? linkami 10 articoli degli ultimi 6 mesi...io leggo poco ma controllo molti titoli, e non saprei dirti quale sia l'ultimo articolo sulla sicurezza informatica letto/visto in tv. AH si, uno degli ultimi servizi di report. Tra l'altro programma molto sottovalutato.

Ansem The Seeker Of Lossless

Se non hai un firewall in mezzo secondo me non è abbastanza sicuro

Nicola

Non puoi essere serio. Paranoico ok ma comunque non puoi essere serio dai

meg-dogmática

Mi è venuta l'ansia a leggere questo commento :(

meyinu

C'è di più o meglio i dati sensibili servono a fare la Sim Swap e quindi a prelevare i soldi dai cellulari di questi sventurati informatici da spiaggia.

Con i dati su facebook e gli altri social si possono compilare i documenti di identità con tutti i dati, poi si passa a fare il documento falso insieme a una denuncia di smarrimento cellulare falsa. Con questi documenti e il numero di cell si passa all'acquisizione della SIM (sim swap) e quindi al passaggio di proprietà del conto corrente e del suo contenuto.

Con l'app Codice Fiscale si può evidentemente avere tutti i dati necessari, quelli che mancano si trovano sui social e quindi il nostro novello informatico da spiaggia si trova con il conto svuotato.

Il tutto per risparmiare qualche minuto per fare una operazione tramite pc con le dovute sicurezze invece che tramite smartphone. Col conto svuotato dovrà lavorare anni per rifarsi un gruzzolo da mettere in banca. Ha veramente risparmiato tempo?

Corradox22

L'app indicata come vettore del trojan è tuttora sul Play store e ha 4 recensioni, si proprio quattro recentissime con valutazione OTTIMO.
Mah...

giovanni cordioli

Eh!..., Guarda, il fatto stesso di avere tutti questi dati sensibili su un dispositivo mobile connesso H24, e per sua natura totalmente insicuro:
( lo puoi perdere, te lo possono rubare, clonare, intercettare, infettare, ecc ecc )
è una follia pura e semplice, ma la gente non sembra affatto preoccuparsene....Manco se ne rende conto.
Del resto di chi stiamo parlando?
Stiamo parlando di gente che spesso ha trovato perfettamente "normale" mettere tutta la loro vita su facebook, compresi i dati sensibili, i dettagli privatissimi delle loro vite, e centinaia di foto sia loro che dei loro cari, quindi quali concetti di sicurezza o privacy vuoi che abbiano?
Contenti loro contenti tutti, ma che poi non si lamentino quando prima o dopo arriva il conto da pagare per la propria ingenuità.

meyinu

I soldi sono i tuoi se la banca non è sicura cambia banca:

Riceviamo dal gruppo Banca di Asti:

L’espressione “SIM swap” significa letteralmente “scambio di SIM”. Si
tratta di una truffa informatica che viene messa a segno nel momento in
cui, carpendo i dati personali di un utente, i truffatori riescono a
farsi emettere una nuova SIM con lo stesso numero della vittima. Tutte
le comunicazioni e i dati relativi alle applicazioni abbinate al numero
di telefono, come per esempio i codici per gestire l’internet banking,
vengono così dirottati sul telefono dei truffatori.

https://laprovinciadibiella.it/cronaca/banca-di-asti-attenzione-alle-truffe-sim-swap-vale-a-dire-scambio-di-sim/

ai danni di titolari di conti correnti tramite la tecnica nota come “Sim
Swap”: ... A sporgere denuncia dando il via alle indagini era stato un
tabaccaio di Ravenna, a cui erano stati sottratti circa 70mila euro.

https://www.corriereromagna.it/ravenna-tabaccaio-truffato-per-70mila-euro-hacker-identificati/

meyinu

In effetti queste erano le regole di un tempo, poi tutti sono diverntati informatici con l'acquisto di un cell e l'Europa ha tolto le regole di giusta e scrupolosa attenzione alla sicurezza quando in ballo ci sono i soldi. Adesso con un cell di quattro anni fa da 200 euro (quindi non più aggiornato), con l'impronta digitale che sblocca tutte le funzioni i ggggiovani del dopo 2000 diventano esperti digitali e fanno tuto con l'app (bancaria) finanziaria.

Niente più pc fisso, niente token fisico per sbloccare le attività bancarie dispositive (bonifici e altro), niente password complesse per accedere alla banca, niente sms di conferma inviato su un terzo dispositivo (il cell).

ah i tempi moderni...

ghost

E' quella gente che ha password chilometriche ed ha talmente tanti blocchi che alcuni servizi addirittura non funzionano da quanto sono stringenti.

Aster

Non arriva otp perche dice "browser non supportato" aggiorna

Aster

Si si ci crediamo subito!ancora peggio allora

TopperTop

... ( mai usato droghe )....

ah, allora il problema è quello!!!!

TopperTop

alla faccia del razzo! Se devo fare la vita di ..rda che proponi allora preferisco andare fisicamente allo sportello a fare le operazioni....l'home banking (esclusivamente tramite app) deve essere una comodità non un'ansia...

ma per mettere le otp quando sei a casa da solo ti copri lo stesso la mano guardandoti preoccupato intorno o stai un pelo più rilassato?

TopperTop

ma se t ha detto che la prima l'ha messa tramite play store

giovanni cordioli

Cambia banca.
Tra l'altro i servizi di home banking non sono gratis e non ti stanno facendo nessun favore, li paghi.

giovanni cordioli

Non cambio spacciatore ( mai usato droghe )
Linux invece lo uso dai tempi di windows 95.

Aster

la mia banca non ha sito web:)

Aster

cambia spacciatore,e non nominare linux invano

Aster

e la prima cosa che uno dovrebbe fare:)installare app da origine sconosciute

T. P.

vero purtroppo! :(

Vran

Peccato che alcune banche praticamente ti obbligano ad avere la loro app per fare qualsiasi cosa anche da pc

Riprova Vivo X80 Pro con Android 13: una Vivo sempre più intrigante | Video

Confrontone tra i quasi top 2022, 9 smartphone uno contro l'altro | Video

Rog vs Rog vs Batman: Mediatek 9000 o Snapdragon 8+ gen.1 | Video

Recensione Motorola Razr 2022: finalmente moderno, non per nostalgici