da Hardware Upgrade :
All’interno del Google Play Store sono stati individuati diversi
malware-dropper per Android che si mascherano da aggiornamenti di
app, ma hanno lo scopo di andare a recuperare ed installare trojan bancari
che possono sottrarre le credenziali di accesso dell’utente e compiere
transazioni non autorizzate.
I malware dropper rappresentano una categoria di app difficile da
arginare poich al loro interno non contengono alcun codice dannoso e per
questo motivo riescono a passare pi facilmente le analisi di Google Play
quando vengono inviate allo store per la distribuzione. Parallelamente
anche gli utenti non sospettano nulla, poich essi mettono a disposizione
la funzionalit pubblicizzata e compiono il loro operato dannoso dietro le
quinte.
Sono i ricercatori di Threat Fabric ad aver
scoperto il nuovo gruppo di dropper, segnalando inoltre un
incremento nella diffusione ed uso di questi strumenti proprio per via
della loro efficacia. La prima campagna individuata da Threat Fabric
risale all’inizio del mese di ottobre e diffonde il trojan bancario
noto come SharkBot, un malware che sottrae credenziali di accesso ai
servizi bancari online sfruttando false richieste di accesso mascherate da
moduli di accesso a siti Web legittimi, oppure ancora sfruttando tecniche
di keylogging, rubare e nascondere messaggi SMS e prendere controllo
remoto su un dispositivo mobile.
I ricercatori hanno individuato in particolare due app “dropper”
dall’aspetto apparentemente innocuo, una delle quali interessa da
vicino il pubblico italiano: si tratta di “Codice Fiscale 2022“,
un’app che viene usata per calcolare il codice fiscale di qualsiasi
cittadino a partire dai suoi dati anagrafici. Codice Fiscale 2022 stata
scaricata 10 mila volte. L’altra app “File Manager Small, Lite” per
gestire i file sul dispositivo.
Quando l’utente installa una di queste due app, alla fine gli viene
chiesto di procedere all’installazione di un aggiornamento fasullo, che in
realt il malware SharkBot vero e proprio. La richiesta viene mascherata
come una pagina Google Play, ingannando l’utente per indurlo a toccare il
pulsante “Aggiorna”.
La versione di SharkBot che viene installata tramite Codice Fiscale 2022
prende di mira nello specifico gli istituti bancari italiani, facendo
uso di overlay di accesso falsi, intercettando SMS per i codici di
autenticazione a due fattori e sfruttando funzionalit di keylogging e
di furto di cookie. Per quanto riguarda File Manager Small, Lite,
invece, la versione di SharkBot si rivolge ad un ventaglio di bersagli pi
ampio, comprendendo anche istituti bancari del Regno Unito, Spagna,
Polonia, Austria, Australia e Stati Uniti.
Un’altra campagna di malware-dropper riguarda Vultur, anch’esso
trojan bancario che viene distribuito tramite le app Zetter Authentication
(10 mila download), My Finances Tracker (mille download) e Recover Audio,
Images and Videos (100 mila download).
Threat Fabric osserva che la distribuzione di malware tramite i dropper
su Google Play il metodo pi semplice per raggiungere le vittime con
poco impiego di risorse. C’ comunque un punto debole in questa tecnica,
che la necessit di richiedere un’azione manuale da parte della vittima.
Tuttavia le strategie di mascheramento riescono a dimostrarsi spesso molto
efficaci, traendo in inganno gli utenti.