I ricercatori ESET hanno individuato sul Google Play Store ben 29 trojan (identificati come TrojanDropper.Agent.CIQ) mascherati da applicazioni a tema oroscopo, oltre che da gestori di batterie e cleaner. Fortunatamente ora le app incriminate sono state rimosse, ma per molti utenti è un po’ tardi.
Le app hanno infatti agito indisturbate da agosto a ottobre e sono state installate da quasi 30.000 utenti prima di essere rimosse. Queste risultano molto pericolose in quanto non si limitano a imitare pagine delle banche per carpire i dati di accesso, ma appartengono a una categoria di sofisticati malware con funzioni molto complesse.
Queste sono infatti in grado di indirizzare dinamicamente le app trovate sul dispositivo con moduli di phishing personalizzati o impersonare in modo dinamico qualsiasi app installata sullo smartphone, intercettando i registri delle chiamate, reindirizzando i messaggi di testo e scaricando altre app senza autorizzazione.
Le app sono state caricate sul Play Store con nomi e sviluppatori differenti, ma i ricercatori hanno scovato somiglianze di codice e un server C & C condiviso, motivo per cui sono persuasi che sia opera di un singolo utente o gruppo. Ma come funzionano questi trojan?
Una volta avviate, le app in questione o mostrano un errore, sostenendo di essere state rimosse per problemi di incompatibilità (trovando così la “scusa” per nascondersi agli occhi degli utenti) o visualizzano ciò che promettono, ossia gli oroscopi. Il problema è che una payload crittografata attiva una procedura a cascata che porta al download di una ulteriore payload che include il malware bancario: è poi quest’ultimo a impersonare le app bancarie installate sul dispositivo, intercettare e inviare messaggi SMS, scaricare e installare applicazioni aggiuntive a scelta del cyber criminale. Grazie alla duplicazione del codice HTML delle app installate, la vittima ha difficoltà a notare che qualcosa non quadra.
Come proteggersi dunque? Se avete il sospetto di avere installato app simili, disinstallatele recandovi nelle impostazioni di sistema e verificare le transazione bancarie, possibilmente dopo aver modificare la password. Per evitare di ricadere in simili “tranelli” installate sempre app dal Play Store (anche se, come in questo caso, di certezze non ce ne sono) dopo aver verificato recensioni, valutazioni e numero di download; fate inoltre attenzione ai permessi richiesti dalle app e tenete sempre aggiornato il vostro smartphone Android con le ultime patch di sicurezza (per quanto possibile).