BankBot è un pericoloso trojan in grado di sottrarre i dati della carta di credito degli utenti e può nascondersi all’interno di giochi e app apparentemente innocui, almeno all’inizio. Vediamo come riconoscerlo ed evitarlo.
ESET, il più grande produttore di software per la sicurezza digitale dell’Unione Europea, ha scovato BankBot all’interno di una sorta di clone del capitolo di una popolare saga di giochi sul Play Store: l’app incriminata si chiamava (ora è stata rimossa) “Jewels Star Classic” ed era sviluppata da GameDevTony.
Ma come funziona BankBot? Il trojan, già individuato altre volte, si è evoluto nel corso dell’anno, portando un migliorato sistema di offuscamento nel codice, una sofisticata funzionalità di esecuzione del payload e un sistema di infezione che sfrutta il servizio di accessibilità di Android.
Una volta che l’utente ha scaricato Jewels Star Classic ottiene, almeno apparentemente, un normale e innocuo gioco per Android che sfrutta il nome della popolare saga Jewels Star, ovviamente in alcun modo legata al malware. Il gioco funziona normalmente per 20 minuti, dopodiché viene innescato il codice malevolo: sullo smartphone compare un messaggio che invita a l’utente ad abilitare “Google Service”. L’unico modo per far scomparire il pop up è premere su “OK”.
L’utente viene a questo punto reindirizzato alla pagina Accessibilità delle impostazioni, dove è comparso “Google Service”, e invitato a premere di nuovo “OK”: una volta fatto BankBot avrà l’accesso, con la massima libertà di svolgere qualunque attività pericolosa, tra cui il furto dei dati della carta di credito.
Purtroppo secondo quanto riferito da ESET i criminali cambiano spesso applicazione, dunque non è sufficiente non aver mai installato il gioco in questione. Gli indicatori per verificare l’eventuale infezione sono due: la presenza di un’app chiamata “Google Update” o “System Update” tra gli amministratori del dispositivo e la visualizzazione continua dell’avviso “Google Service”.
Qualora siate stati infettati dovrete disabilitare immediatamente i permessi di amministratore ai suddetti servizi e in seguito procedere alla disinstallazione di “Google Update” (che ovviamente nulla a che vedere con Google).
Fate sempre attenzione a ciò che scaricate e installate sul vostro smartphone Android, anche se proviene dal Play Store. Speriamo che Google possa fare qualcosa al riguardo.