Google consiglia spesso di scaricare le app solo dal Play Store. I ricercatori di ThreatFabric hanno tuttavia scoperto che le misure di sicurezza del negozio digitale possono essere facilmente aggirate. In 12 app Android, scaricate oltre 300.000 volte, erano nascosti quattro trojan bancari che permettono di rubare password e altri dati sensibili. In seguito alla segnalazione, le app sono state eliminate.
Trojan bancari sul Google Play Store
Le quattro famiglie di malware erano nascoste in 12 app apparentemente sicure (lettore di codici QR, scanner PDF, autenticazione a due fattori). I malintenzionati hanno sfruttato varie tecniche per eludere i sistemi usati da Google per bloccare la pubblicazione di app infette. Invece delle app complete, l’utente scarica un “dropper” di piccole dimensioni. Successivamente viene chiesto di effettuare uno o più aggiornamenti, insieme ai quali vengono distribuiti i payload, ovvero il codice dei trojan bancari.
In alcuni casi viene installato il codice infetto solo su specifici dispositivi, scelti in base alla posizione geografica dell’utente. Ciò rende più difficile la sua rilevazione. Il malware più diffuso è Anatsa (oltre 200.000 installazioni). Questo trojan bancario offre varie “funzionalità”, tra cui accesso remoto, furto delle credenziali e trasferimento automatico dei fondi presenti sul conto corrente. Solo dopo l’aggiornamento, l’app infetta chiede un maggior numero di permessi, come quelli per i servizi di accessibilità che consentono di ottenere il pieno controllo del dispositivo.
Le altre tre famiglie di trojan bancari sono Alien, Ermac e Hydra. Le tecniche utilizzate sono simili, così come i dati rubati alle ignare vittime, soprattutto password di account bancari, social media e portafogli di criptovalute. Come detto, tutte le app scoperte da ThreatFabric sono state rimosse dal Google Play Store.