I ricercatori della sezione mobile di Symantec hanno osservato che una vecchia truffa (scam) popolare tra i malware desktop sta iniziando ad irrompere sui dispositivi con sistema operativo Android. “Congratulazioni, hai vinto!” potrebbe essere normalmente percepita come una frase benaccetta da leggere mentre si naviga sul web. Il pensiero viaggia veloce verso una vacanza con tutte le spese pagate in qualche località esotica, o magari ad una vincita cospicua, per aggiungere qualche zero al proprio conto in banca. Tutto interessante, se solo non fosse una frase che piace molto anche ai truffatori.

Di recente le truffe del tipo “Hai vinto” hanno visto una crescente diffusione quali minacce su dispositivi mobile con Android. Symantec ha registrato una crescita considerevole a partire dall’estate scorsa, dimostrata sia dalle segnalazioni provenienti dagli utenti finali che dai sample inviati da alcuni partner.

Mentre la comparsa di truffe come queste su Android rappresenta uno sviluppo recente, le stesse sono in verità conosciute da tempo ed hanno anzi una lunga storia. In aggiunta allo specifico malware in questione, è opportuno fare anche riferimento ai punti di forza che hanno determinato il successo di questa tipologia di truffe.

Contesto

Il malware Android.Fakeyouwon scoperto sui device degli utenti Symantec sfrutta la geolocalizzazione: individua la posizione del device tramite il suo IP. Una volta individuata la regione, i truffatori possono personalizzare di conseguenza diverse campagne di truffa. Possono variare, da avvisi pubblicitari generici fino a coupon o programmi a premi di qualche noto punto vendita locale.

Ad esempio a Singapore due dei negozi di alimentari più diffusi sono Giant e FairPrice. Non sorprende che i truffatori abbiano sfruttato i nomi di queste aziende nell’ambito delle proprie campagne-truffa. Agli utenti viene mostrata una pagina scam che falsifica la pagina di FairPrice, con tanto di logo della nota catena e dell’icona con la bandiera di Singapore. La presunta promozione promette persino agli utenti che completano il sondaggio proposto la possibilità di scegliere tra un buono da circa S$1.000 ( €613), una console da gaming o uno smartphone. Tuttavia il modulo del sondaggio serve soltanto ai truffatori per raccogliere informazioni personali dei malcapitati, come nome, indirizzo, numero di telefono e così via. Dopodiché il malware invia i dati raccolti ad un server remoto.

In altri casi, i truffatori possono anche possono anche sfruttare trend recenti in argomenti di interesse. Gli esempi di truffa includono, ad esempio, farse offerte che promettono agli utenti di arricchirsi grazie alla criptovaluta Ethereum.

Apparente legittimità

Una volta che la vittima ha abboccato alla falsa offerta, i truffatori cercano di rafforzare l’apparente legittimità dei contenuti che vengono presentati all’utente. Di solito questa fase implica il fare riferimento ad un gran numero di altre persone partecipanti, sia in modo esplicito, sia implicitamente (usando pagine falsificate di piattaforme popolari come Google o Facebook). I truffatori spesso si servono anche di false testimonianze attribuite ad utenti che sembrano essere state pubblicate sulle citate piattaforme.

La strategia che porta a considerare numeri importanti come sinonimo di sicurezza può essere applicata anche quando, ad esempio si cercano sul Play Store le app più affidabili da installare. Tuttavia questa strategia da sola non basta ed anzi può anche essere sfruttata da malintenzionati.

Eccitazione

Naturalmente il principale fattore umano in gioco è il livello di eccitazione e la correlata sospensione dell’incredulità che consegue ad una (presunta) situazione eccezionale. Come possono essere la vincita di un premio in denaro, l’essere messo sotto pressione per iscriversi, trovare un’importante opportunità di business in un campo popolare oppure oggetto di studi recenti. Persino gli utenti più attenti e scettici potrebbero essere in alcuni casi tratti in inganno.

Inganno

C’è poi una serie di altri accorgimenti studiati dagli scammer per soggiogare le vittime, come:

  • Percorso sul dispositivo: le app si nascondono sul device come app legittime per gestire le impostazioni o per riprodurre musica gratis.
  • Timing / delay to trigger: le varianti del malware Fakeyouwon adottano una specifica modalità operativa a seconda della posizione e della piattaforma del dispositivo della vittima. In alcuni casi verranno mostrati subito contenuti web dannosi, in altri questi si presenteranno in un secondo momento. Lo scopo è quello di impedire che l’utente associ subito il comportamento strano all’app installata di recente. Inoltre è possibile anche configurare l’intervallo di tempo tra varie finestra popup. I truffatori furbi cercano di adeguare il comportamento del malware alla regione di riferimento, in modo da destare meno sospetti.
  • Presentazione del contenuto per garantire il successo della truffa: viene selezionato il contenuto considerato più adatto da mostrare all’utente.
  • Webview vs browser: l’utilizzo di webview garantisce protezione allo scammer, in quanto non c’è la barra dell’indirizzo e l’utente non può vedere l’URL potenzialmente dannoso. Inoltre le tecnolgie anti-scam/spam si concentrano in genere sui browser, piuttosto che sulle istanze webview. Non mancano comunque esempi in cui questo malware fa uso del browser. La parte presente sul web delle funzionalità coinvolte in queste truffe utilizza reindirizzamento web (HTTP Response 302), nonché redirect di meta-elementi per nascondere il contenuto dannoso che tramite analisi potrebbe essere associato a scam.
  • Sfruttare l’amministratore del dispositivo: Se l’utente concede all’app l’amministrazione del dispositivo, l’app può sovrascrivere finestre di dialogo, resistere a protezioni contro i malware ed accedere a dati a cui solitamente le app non possono. Se un’app richiede di diventare “amministratore del dispositivo”, la regola generale consiste nel rifiutare a meno che non ne capiate la necessità.

Protezione

Ed ora i soliti ma inevitabili consigli di base per evitare di incorrere in situazioni spiacevoli:

  • tenete aggiornato il software;
  • non scaricate app da siti sconosciuti;
  • installate soltanto app da fonti fidate;
  • fate sempre attenzione ai permessi che le app richiedono;
  • fate backup dei dati importanti;
  • Installate app, come Norton, per proteggere il vostro device ed i vostri dati.

I prodotti Norton e Symantec sono in grado di rilevare il malware Android.Fakeyouwon.