Nonostante i grandi sforzi del team di sviluppatori di Google per rendere il Google Play Store una piattaforma sicura per gli utenti, di tanto in tanto i ricercatori che si occupano di sicurezza lanciano un allarme relativo a del malware che mette a rischio i dati o persino i conti correnti di chi usa dispositivi Android e l’ultimo esempio di questo tipo è rappresentato da Anatsa.
Si tratta di un malware scoperto dallo staff di ThreatFabric in alcune app presenti nel Google Play Store e che è al centro di una campagna al momento in corso in alcuni Paesi, come l’Italia, gli Stati Uniti, la Francia, l’Austria, la Svizzera e il Regno Unito.
Il nuovo malware Android si chiama Anatsa
Stando a quanto si apprende, le applicazioni coinvolte in questa campagna hanno oltre 30.000 installazioni e le app finanziarie che potrebbero essere colpite sono 600: l’obiettivo dei malintenzionati è rubare le credenziali utilizzate dai clienti sulle applicazioni bancarie e avviare transazioni fraudolente con la tecnica Device-Takeover Fraud (DTO).
Queste sono le 5 applicazioni da cancellare immediatamente (con package name e SHA-256):
- PDF Reader – Edit & View PDF – lsstudio.pdfreader.powerfultool.allinonepdf.goodpdftools – ecce34c0ba83120ccf1f8e1640cd867fbfeb490dbc8a41d1cf8c577d508819c3
- PDF Reader & Editor – com.proderstarler.pdfsignature – 128820e1c5d62523f675042da9d1e11af3191217afe308bcc17e51ad8c2ece03
- PDF Reader & Editor – moh.filemanagerrespdf – 7231546ee377738cbe9075791eb6e76b7bc163c1b91831e05e81b4756fff4028
- All Document Reader & Editor – com.mikijaki.documents.pdfreader.xlsx.csv.ppt.docs – 3740e6b4d259efe6a72f503429fb67db96363935a29f7428ccab5b78fa9bee73
- All Document Reader and Viewer – com.muchlensoka.pdfcreator – db7df65f2699817fa3ebfb3ebef106a3801a96b9da1ba6d88e727a253ae34da6
Risale allo scorso marzo la prima apparizione di Anatsa in un’app del Google Play Store e, dopo la segnalazione al colosso di Mountain View da parte dello staff di ThreatFabric, l’applicazione è stata rimossa. Solo che il malware è apparso in un’altra applicazione, anch’essa rimossa da Google e poi in una terza e così via.
Una volta che il malware viene installato, Anatsa è in grado di raccogliere informazioni sensibili (come le credenziali, i dettagli della carta di credito, le informazioni sul saldo, ecc.) tramite attacchi overlay e keylogging e tali informazioni vengono successivamente utilizzate per portare a compimento delle frodi.
Anatsa, infatti, consente ai malintenzionati di compiere delle transazioni per conto della vittima e, dato che vengono avviate dallo stesso dispositivo che i clienti delle banche target usano regolarmente, tale sistema pare che sia molto difficile da rilevare per i sistemi antifrode bancari.
Per ulteriori informazioni vi rimandiamo all’articolo pubblicato da ThreatFabric (lo potete trovare seguendo questo link).
Se avete una o più di queste cinque applicazioni Android, il consiglio è quello di provvedere immediatamente alla loro disinstallazione e controllare sul conto corrente che non vi siano brutte sorprese.