Cosa sapere sul trojan Android che ruba gli account social dal Play Store

C’è un malware che viaggia sul Play Store e che deruba le sue vittime del loro account Facebook. Un trojan Android che si comporta come un’applicazione normale, e che invece inietta un codice maligno durante la fase di login al proprio account Facebook, così da derubare l’utente delle sue credenziali. Il malware, scoperto dal laboratorio di sicurezza Dr. Web, è stato trovato all’interno di numerose applicazioni, che in totale avevano collezionato 5,8 milioni di download – benché per la maggior parte siano state cancellate dal Play Store, alcune non sono ancora state rimosse.

Volete scoprire tutto ciò che c’è da sapere sul trojan Android che infesta il Play Store?

class="bs-shortcode bs-text bscb-36502">

Che cos'è un trojan Android

Un trojan è un malware che si insinua all’interno dei dispositivi che intende infettare utilizzando varie tecniche di camuffamento. Solitamente, i malware Android vengono bloccati prima che possano raggiungere il Play Store grazie alle attività di controllo applicate da Google prima della loro pubblicazione; non è raro tuttavia che vengano scoperti trojan Android all’interno di app considerate affidabili e in possesso di milioni di download. Per quale motivo?

A volte può capitare che si tratti di un malaugurato incidente: più volte applicazioni in possesso di una fama consolidata si sono ritrovate espulse dal Play Store per aver installato un file SDK (utilizzato per la visualizzazione di annunci pubblicitari) non affidabile, contenente un malware – questo è quanto successo all’app CamScanner. Altre volte, invece, si tratta di un atteggiamento voluto: è il caso del trojan Android di questo articolo, ma anche di molti altri. L’applicazione che viene inviata per il controllo è apparentemente innocua, ma al suo interno vengono inserite alcune righe di codice che, se attivate da un server esterno (chiamato server di Comando & Controllo, abbreviato in C&C), avviano la procedura di infezione. Dato che si tratta di una forma molto subdola di trojan Android, non sempre i filtri di Google riescono a individuarli.

Come il trojan Android attacca gli smartphone degli utenti

Il trojan Android scoperto dal laboratorio di Dr. Web si nascondeva (e si nasconde ancora) all’interno di una serie di applicazioni molto popolari, e applicava una strategia estremamente furba per rubare le credenziali dell’account Facebook. Praticamente, l’agente maligno creava diversi account sviluppatori per pubblicare sul Play Store app di vario genere, solitamente copie di altre applicazioni. Creare un account da sviluppatore sul Play Store è estremamente semplice ed “economico”, in quanto occorrono solo 25$ di spesa – al contrario che sull’App Store di Apple, dove occorre pagare 100$ per applicazione pubblicata.

PIP Photo, una delle app infettate dal trojan Android

Le app, pur di vario genere – si va dall’app per l’oroscopo all’app per la ginnastica – avevano un tratto in comune: permettevano di eliminare la pubblicità autenticandosi attraverso il proprio account Facebook. In alcuni casi l'”offerta” veniva segnalata da un banner pubblicitario in bella vista. Una scelta sospetta: l’accesso all’account Facebook, senza la richiesta di mettere like a una pagina Facebook (magari quella della software house, o dell’applicazione), non può costituire una fonte di guadagno per lo sviluppatore dell’app tale da giustificare l’eliminazione in toto delle pubblicità. Ma dato che si tratta di una formula molto comune, non è un caso che molte persone siano cadute nella trappola, ben congegnata.

Invece che redirigere l’utente a un sito di phishing, l’app lo indirizzava al portale di autenticazione ufficiale di Facebook, dal quale l’utente senza avere sospetti poteva effettuare il login, come richiesto. La schermata veniva caricata all’interno di una pagina WebView, che veniva successivamente infettata da un codice Javascript iniettato dal server remoto di Comando&Controllo dell’applicazione. A questo punto le credenziali venivano “rubate” dal form di accesso a Facebook, e inviate al server remoto insieme ai cookie utilizzati nel corso della sessione.

Le applicazioni non sono state ricondotte a nessun gruppo di hacker, ma potrebbero essere di origine cinese viste le scritte rintracciate all’interno del codice di sviluppo di una delle app. Le applicazioni infette sono:

  • Processing Photo (500.000 download)
  • App Lock Keep (Sheralaw Lence sviluppatore, 50.000 download)
  • App Loc Manager (Implummet col sviluppatore, 10.000 download)
  • Lockit Master (Enali Mchicolo sviluppatore, 5.000 download)
  • Rubbish Cleaner (SNT.rbcl sviluppatore, 100.000 download)
  • Horoscope Daily (HscopeDaily sviluppatore, 100.000 download)
  • Horoscope Pi (Talleir Shauna sviluppatore, 1.000 download)
  • Inwell Fitness (Reuben Germaine sviluppatore, 100.000 download)
  • PIP Photos (Lillian, 5.000.000 download)

Benché il trojan Android abbia preso di mira Facebook, secondo gli esperti di Dr. Web il suo funzionamento si adatta tranquillamente a qualsiasi tipo di social network – dunque è una minaccia da non sottovalutare.

Come difendersi dal trojan Android

Per difendersi da questa tipologia di applicazioni bisogna seguire alcune raccomandazioni:

  • innanzitutto, mai scaricare app che sembrano provenire da sviluppatori inaffidabili: gli indizi in merito possono essere tanti, da una media delle recensioni molto bassa dell’app a un portafoglio di applicazioni sconclusionato e un po’ sospetto dello sviluppatore;
  • procurarsi un’antivirus: tra quelli gratuiti, Malwarebytes è molto popolare;
  • evitare di effettuare il login ad account social all’interno di applicazioni non affidabili, di nicchia o provenienti da fonti sconosciute – extra-Play Store.

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a myjob@appelmo.com, e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!

Android MalwareMalware AndroidMalware su Google Play
Commenti (0)
Aggiungi commento