I ricercatori di sicurezza informatica ESET mettono in guardia dalla minaccia sottovalutata delle false app bancarie per dispositivi Android, che si presentano come applicazioni finanziarie legittime con l’obiettivo di rubare credenziali o denaro dai conti bancari delle vittime.
Anche se tecnicamente lontane dalle modalità più avanzate di frode, le false app bancarie presentano vantaggi strategici che le rendono comparabili a tipi di malware molto più sofisticati come i trojan bancari. L’analisi dei ricercatori di ESET è relativa ai due tipi di frode, entrambe presenti nel Google Play Store.
Il principale punto di forza di queste app fake è la loro pressochè totale somiglianza alle applicazioni bancarie legittime. Se gli utenti cadono nel tranello e installano l‘app fake sul proprio smartphone, c’è un’alta probabilità che considerino legittima la schermata di accesso visualizzata e inviino le proprie credenziali.
E, contrariamente ai trojan bancari, non vengono richiesti permessi aggiuntivi che possano sollevare il sospetto degli utenti dopo l’installazione. Inoltre, i trojan sono maggiormente soggetti al rilevamento dei software antivirus, a causa delle loro tecniche avanzate che fungono da trigger.
A differenza dei reali trojan, queste false app bancarie si focalizzano in genere su un target di clienti di un solo istituto finanziario o servizio. Un’eccezione a questa regola è stata un’app falsa che sosteneva di essere uno strumento bancario universale e che aveva come target i clienti di 19 banche polacche.
Alcuni autori di malware approfittano dell’assenza di un’app mobile ufficiale di una certa banca o servizio, mentre altri tentano di ingannare gli utenti impersonando app ufficiali esistenti. Occasionalmente, le false app fingono di offrire funzionalità aggiuntive alle app legittime esistenti, come la promozione di premi bancari, regali o offerte.
Applicazioni Android, come difendersi da quelle false che nascondono malware
Come proteggersi dalla minaccia degli Android banking malware e più in generale delle applicazioni Android false? Per stare al sicuro abbiamo deciso di riportarvi alcuni dei consigli degli esperti di ESET:
• Tenere aggiornato il proprio dispositivo e utilizzare una soluzione di sicurezza;
• Evitare gli store non ufficiali tenendo disattivata l‘opzione “installazione di app da fonti sconosciute”;
• Prima di installare un’app dallo store Google, controllare sempre le valutazioni degli altri utenti, il contenuto delle recensioni, il numero di installazioni e le autorizzazioni richieste;
• Scaricare sempre e solo applicazioni bancarie e altre applicazioni finanziarie collegate al sito web ufficiale della banca o del servizio finanziario;