domenica, Dicembre 29, 2024

Trojan bancario si diffonde tramite la falsa pagina del Google Play Store

Un trojan bancario Android che prende di mira Itaú Unibanco, un grande fornitore di servizi finanziari in Brasile con 55 milioni di clienti in tutto il mondo, ha implementato un insolito trucco per diffondersi sui dispositivi.

Gli attori hanno creato una pagina che sembra molto simile all’app store ufficiale di Google Play di Android per indurre i visitatori a pensare che stiano installando l’app da un servizio affidabile.

Pagina Fake Play Store che rilascia APK dannosi
Pagina Fake Play Store che rilascia APK dannosi
Fonte: Cyble

Il malware finge di essere l’app bancaria ufficiale per Itaú Unibanco e presenta la stessa icona dell’app legittima.

Se l’utente fa clic sul pulsante “Installa”, gli viene offerto di scaricare l’APK, che è il primo segno della truffa. Le app di Google Play Store vengono installate tramite l’interfaccia del negozio, senza mai chiedere all’utente di scaricare e installare programmi manualmente.

Informazioni APK
Informazioni APK
Fonte: Cyble

Dirottamento dell’app reale

I ricercatori di Cyble hanno  analizzato il malware, scoprendo che al momento dell’esecuzione tenta di aprire la vera app Itaú dal Play Store effettivo.

In caso di esito positivo, utilizza l’app effettiva per eseguire transazioni fraudolente modificando i campi di input dell’utente.

Modificare i campi di input dell'utente come richiesto
Modifica dei campi di input dell’utente per eseguire transazioni
Fonte: Cyble

L’app non richiede autorizzazioni pericolose durante l’installazione, evitando così di sollevare sospetti o rischiare il rilevamento da parte degli strumenti AV.

Invece, mira a sfruttare il servizio di accessibilità, che è tutto ciò che serve al malware mobile per aggirare tutta la sicurezza sui sistemi Android.

Come spiega un recente rapporto di Security Research Labs , in questo momento abbiamo a che fare con una pandemia di abuso di accessibilità di malware Android e Google deve ancora colmare il punto debole mirato.

Pertanto, solo l’utente ha la possibilità di individuare i segni di abuso e fermare il malware prima che abbia la possibilità di eseguire azioni distruttive sul dispositivo.

Malware che richiede l'autorizzazione per queste azioni
Malware che richiede l’autorizzazione per le azioni
Fonte: Cyble

Questi segnali si presentano sotto forma di app che richiede l’autorizzazione per eseguire gesti, recuperare il contenuto della finestra e osservare le azioni dell’utente.

I siti Web utilizzati per distribuire gli APK dannosi sono stati segnalati e messi offline per ora, ma gli attori potrebbero tornare attraverso domini diversi.

Usa le vere app bancarie

Se desideri usufruire della comodità dell’e-banking mobile, assicurati di installare l’app dal sito web ufficiale della banca o dal Google Play Store.

Inoltre, applica gli aggiornamenti sull’app non appena diventano disponibili e utilizza uno strumento AV di un fornitore affidabile.

Per garantire la massima sicurezza dell’account, utilizza una password complessa e abilita l’autenticazione a più fattori sull’app.

Se devi installare APK dall’esterno dello store, esamina attentamente le loro richieste di autorizzazione durante e dopo l’installazione.

Infine, controlla regolarmente e assicurati che Google Play Protect sia abilitato sul tuo dispositivo Android.

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: