google-app-carta-creditoUna nuova serie di app bancarie false è stata rintracciata su Google Play Store. Queste applicazioni sarebbero in grado di aumentare il plafond delle carte di credito per gli utenti di diverse banche e, quindi, di utilizzare i dettagli delle carte e le credenziali bancarie attraverso moduli falsi. Peggio ancora, i dati rubati alle vittime vengono poi esposti online, in chiaro, su un server esposto.

Le app false sono state inviate a Google Play nel mese di giugno e luglio 2018 e sono state installate da centinaia di vittime. Le app sono state presentate da tre gruppi diversi, ciascuno dei quali si presenta come una banca indiana diversa: tuttavia, le tre app portano a un singolo responsabile. Al momento, quindi, il problema sembra essere circoscritto solo alla banche indiane.

 

Come funziona questa minaccia

Tutte le app funzionano allo stesso modo. Dopo che sono stati eseguiti i processi di routine, inviano un modulo e chiedono i dettagli della carta di credito. Se gli utenti compilano il modulo e fanno clic su “Invia”, vengono portati in un altro modulo che richiede i dati di accesso homebanking. Curiosamente, anche se tutti i campi sono contrassegnati come “obbligatori”, i campi possono essere lasciati in bianco – un chiaro suggerimento di qualcosa di sospetto.

Leggi anche:  Google Play Store: se hai scaricato una di queste app, il tuo smartphone ha un malware

Dopo queste fasi, gli utenti arrivano a una schermata finale dove viene loro comunicato che un “Customer Support Executive” li contatterà a breve. Inutile dire che nessun contatto seguirà mai.

Tuttavia, i dati vengono quindi inviati in testo semplice, non crittografati, a un server accessibile a chiunque abbia un collegamento ad esso, senza alcun tipo di autenticazione. Per le vittime, questo aggrava il problema, dal momento che i loro dati non sono solo disponibili per il mocker, ma anche per chiunque li trovi.

Recentemente, ESET aveva già pubblicato un avviso su un’altra app dello stesso tipo – MyEtherWallet, che ha rivelato i dati privati ​​di molti “portafogli” virtuali. Questi risultati evidenziano che è importante prestare molta attenzione quando si scaricano le app relative alle finanze, siano esse denaro tradizionale o virtuale.