Un interessante report di Kaspersky svela come il gruppo di hacker OceanLotus, conosciuto anche come APT32, APT-C-00 e SeaLotus, per anni è riuscito ad eludere i sistemi di sicurezza di Google Play Store per distribuire una backdoor in grado di rubare una grande quantità di informazioni sensibili.
Queste app rubavano dati sensibili
Il gruppo di ricerca di Kaspersky è riuscito a risalire a 8 applicazioni presenti sullo store digitale di Google da almeno quattro anni, anche se è possibile che queste siano state inizialmente pubblicate già nel 2015. Uno dei metodi utilizzati dal gruppo di hacker per eludere le maglie di sicurezza di Google, prevedeva di pubblicare un’applicazione “normale” per poi aggiungere una backdoor solo dopo che questa fosse stata accettata da Google.
Queste applicazioni, tramite la backdoor, erano in grado di prelevare informazioni circa il tipo di hardware presente nello smartphone, la versione di Android in uso, le applicazioni installate e molto altro. Tramite queste informazioni, le applicazioni malevole potevano scaricare ed eseguire del codice arbitrario sviluppato per carpire la cronologia delle chiamate, messaggi e altre informazioni private.
Le applicazioni individuate da parte del team di ricerca di Kaspersky Lab sono:
- com.zimice.browserturbo, disponibile fino al 6/11/2019;
- com.physlane.opengl, disponibile fino al 10/7/2019;
- com.unianin.adsskipper, disponibile fino al 26/12/2018;
- com.codedexon.prayerbook, disponibile fino al 20/08/2018;
- com.luxury.BeerAddress, disponibile fino al 20/08/2018;
- com.luxury.BiFinBall, disponibile fino al 20/08/2018;
- com.zonjob.browsercleaner, disponibile fino al 20/08/2018;
- com.linevialab.ffont, disponibile fino al 20/08/2018.
Fortunatamente Google ha rimosso le applicazioni sopracitate non appena è stato informato da parte di Kaspersky.
Password e codici a due fattori
Cybereason, un’altra azienda impegnata nella sicurezza informatica, ha invece individuato un altro malware su Android etichettato come EventBot, in grado di rubare password e codici di autenticazione a due fattori. Il malware, presentandosi come un’app lecita come ad esempio Adobe Flash o Microsoft Word, sfruttava alcune funzioni lecite di Android per ottenere l’accesso al sistema operativo.
Dopo aver installato l’applicazione fasulla, questa iniziava a rubare password appartenenti a più di 200 sistemi bancari o di criptovalute come ad esempio PayPal, Coinbase, CapitalOne, HSBC e molte altre. Avendo a portata di mano password e codici di autenticazione a due fattori, i malintenzionati avevano modo di accedere ai conti bancari dei malcapitati e così rubare soldi.
Assaf Dahan, ricercatore a Cybereason, dichiara che “lo sviluppatore dietro Eventbot ha investito molto tempo e risorse nella creazione del codice, ed il livello di sofisticazione e capacità è davvero elevato“. Il malware registra ogni tap o tasto che l’utente digita sullo smartphone, registra tutte le notifiche in arrivo inviate da altre applicazioni installate, di fatto dando modo all’hacker di essere costantemente aggiornato 24/7.
Allo stato attuale Cybereason afferma di non aver ancora mai visto EventBot all’interno di applicazioni veicolate tramite lo store digitale di Google, segno che il malware al momento si trasmette per vie esterne come ad esempio l’installazione di APK provenienti da sorgenti esterne.
Ovviamente il nostro consiglio rimane quello di evitare di installare applicazioni che provengono da fonti sconosciute e, se proprio è necessario farlo, di procedere con la massima cautela possibile.