I ricercatori di sicurezza hanno scoperto un app che conteneva un Trojan bancario scaricabile dal Google Play Store, affermando e’ stata scaricata da oltre 300.000 utenti Android.
Come forse saprai, i trojan bancari sono progettati per rubare dati come nome utente e password e codici di autenticazione a due fattori (2FA) che utilizzi per accedere al tuo conto bancario. Sono anche in grado di rubare le sequenze di tasti del telefono e di acquisire schermate di ciò che vedi sul telefono mentre lo usi. Tutto questo viene fatto senza il consenso della vittima.
Le particolari app dannose trovate dai ricercatori di ThreatFabric erano camuffate da app che un utente Android potrebbe normalmente cercare, come scanner QR, scanner PDF, portafogli di criptovaluta e monitor di fitness. Sapendo che una parte degli utenti Android è consapevole del fatto che il Play Store riceve spesso malware, quindi è piuttosto diffidente nei confronti di ciò che scarica, queste app in realtà vengono distribuite tramite pubblicita’ che mostrano funzioni legittime.
Ecco come funziona
Quindi, come fanno queste app a diventare dannose? I criminali informatici dietro di loro introducono codice dannoso tramite aggiornamento, lentamente e in modo sicuro. È una tattica di evasione comune che porta la loro app dannosa nel Play Store senza lanciare allarmi alla porta. Nota, tuttavia, che queste app possono essere aggiornate solo manualmente per avere il codice Trojan se gli aggressori lo desiderano.
Gli aggressori possono selezionare manualmente i loro obiettivi e rovistare tra i file all’interno delle loro reti compromesse, e scegliere manualmente i dispositivi “infetti”avviando il download del codice Trojan in una specifica regione del mondo.
Supponiamo che “Fitness App Alpha” sia installata in un dispositivo in California, negli Stati Uniti e in uno a Montreal, in Canada. Gli hacker attivano una funzione nascosta che carica il codice Trojan nell’app “Fitness App Alpha” in California. Ciò significa che “Fitness App Alpha” in California è ora un Trojan, mentre quella di Montreal non lo è.