Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.
Non soltanto ransomware: anche se, stando agli ultimi studi del settore, saranno proprio i malware finalizzati all’estorsione la minaccia principale del 2017, su Google Play continuano ad avvicendarsi altre tipologie di virus, tutte equamente pericolose. Dagli studi di ESET è emerso che una catena di botnet avrebbe sfruttato un codice open-source per farsi largo nella categoria delle app meteo, mascherandosi da app bancarie e estorcendo credenziali di accesso ai conti correnti.
Siete pronti per scoprire tutto ciò che occorre sapere a riguardo?
Che cos'è Spy Banker
Non si tratta di un semplice malware per smartphone: Spy Banker fa parte infatti di una vasta famiglia di virus per smartphone – come Ghost Push, per esempio – che coinvolge almeno tre varianti, ognuna delle quali agisce in maniera differente ma che possiedono nel proprio codice genetico le caratteristiche inconfondibili del ceppo genitore.
Rilasciato per la prima volta il 16 dicembre in un forum russo online, il codice di Spy Banker è diventato a tutti gli effetti open source, e quindi la tela bianca dalla quale possono prendere ispirazione gli hacker che desiderino realizzare un malware dedicato al sistema bancario. Stando ai dati raccolti, ESET avrebbe individuato insieme al laboratorio di sicurezza Dr. Web una serie di varianti che, seppur non riconducibili vicendevolmente, presentano come costante l’utilizzo di una botnet e di un server C&C per il coordinamento delle operazioni. Fortunatamente pare che il malware non abbia raggiunto l’Italia: dato che ESET è riuscita a penetrare nella struttura di comando prima che la rete botnet venisse smantellata, in testa ai Paesi colpiti troviamo la Turchia, insieme alla Siria, al Sud Africa ed alla Germania; sfortunatamente oltre 331 installazioni provengono da Stati sconosciuti, quindi non ci sentiamo di escludere che qualche contagio possa essere avvenuto anche in Italia.
Come volevasi poi dimostrare, i principali infettati paiono essere proprio gli smartphone equipaggiati con Android 4.4 KitKat: a seguire troviamo però Android Marshmallow 6.0 ed Android Lollipop 5.1.
Come Spy Banker attacca gli smartphone Android
Spy Banker, conosciuto anche come Trojan.Android/Spy.Banker.HU, agisce in maniera praticamente uguale nelle tre versioni finora analizzate, anche se la più aggiornata ricopre un range molto più ampio di banche, includendo sia società turche che tedesche, inglesi e francesi.
In quanto malware appartenente alla categoria dei trojan, Spy Banker penetra nei device dei malcapitati utenti attraverso l’inganno: posizionandosi all’interno del Play Store sotto forma di applicazioni dedicate al meteo, riesce a convincere gli utenti ad eseguire il download grazie a screenshot, immagini di profilo e copertina sottratte ad altre applicazioni legittime. Fino ad ora gli alias più utilizzati si sono tutti serviti dei materiali forniti dall’app Good Weather – non senza una certa ironia da parte degli hacker: essendo Good Weather open source, Spy Banker non vìola alcun copyright.
Dopo essere riuscito a posizionarsi nel dispositivo del malcapitato utente, Spy Banker provvede a visualizzare una serie di false schermate che richiedono all’utente di concedere all’applicazione i permessi di amministratore per via della presenza di un presunto “Aggiornamento di sistema“; una volta che l’utente, ignaro del pericolo, si limita ad acconsentire, il malware si mette in contatto con il proprio server C&C. I comandi ricevuti consentono poi a Spy Banker, in grado ora di muoversi liberamente nel sistema, di modificare la password del lockscreen, mostrare false schermate di login bancarie e persino di lanciare fasulle notifiche provenienti dalle app di gestione del conto corrente.
La vittima, tratta in inganno, inserisce le proprie credenziali, le quali vengono recuperate ed utilizzate dagli hacker per svuotare il conto collegato; le segnalazioni dei prelievi non vengono visualizzate, nè gli SMS ricevuti, perchè Spy Banker provvede opportunamente a nasconderle e/o cancellarle.
Come difendersi da Spy Banker
Così come riporta ESET, Spy Banker è stato ufficialmente espulso dal Play Store e la botnet collegata è stata smantellata; ciononostante, trattandosi di un malware open source, è possibile che si ripresenti o che persino ne abbiate scaricato qualche versione secondaria senza accorgervene.
Se volete verificare la presenza di Spy Banker, vi suggeriamo di procedere su “Impostazioni” > “Sicurezza” > “Amministratori dispositivo” e verificare che non sia presente la voce “System updater“: in caso di risultato positivo, provvedete a rimuovere i permessi concessi e a disinstallare la suddetta app dal dispositivo accedendo alla sezione “App“. In linea generale vi possiamo raccomandare di verificare sempre l’affidabilità delle app che provvedete ad installare, concedendo i permessi di amministrazione del dispositivo solamente ai casi che ne richiedano veramente l’applicazione – e vi possiamo assicurare che siano davvero rari. Per il resto, abbiamo una serie di Saggi Consigli sul mobile banking a riguardo che vi possono interessare.
Scopri QUI tutti i sintomi dello smartphone da intossicazione da malware!
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!
