Trovate 37 app infette: cancellatele subito

Sono ben 37 le app pericolose, scoperte dalla società di cybersicurezza Trend Micro, che andrebbero rimosse subito dallo smartphone. Si tratta di app molto probabilmente sviluppate dallo stesso gruppo di criminali, ma veicolate con due campagne diverse. La prima campagna, tra l’altro, ha fatto un largo uso di social come Twitter, Telegram e TikTok per aumentare la diffusione delle app infette.

Le 4 app con il malware CherryBlos

Le prime 4 app scoperte da Trend Micro, che hanno poi portato alla scoperta delle altre 33, contengono il virus CherryBlos. Questo malware è stato scritto per sottrarre agli utenti i dati di accesso ai propri wallet di criptovalute, i portafogli online in cui archiviano i propri bitcoin, ethereum e altre monete virtuali.

Si tratta, quindi, di un virus con un target specifico e, infatti, è stato veicolato con l’aiuto di una campagna di pseudo informazione dedicata proprio a chi investe in criptovalute.

Ad esempio tramite il gruppo Telegram chiamato Ukraine ROBOT, collegato all’app Robot 999 che ufficialmente serviva per fare investimenti in queste valute. L’app, in realtà, era infetta con CherryBlos e non faceva altro che spiare il telefono delle vittime, in cerca dei dati di accesso ai portafogli online.

Lo stesso virus è presente in altre tre app: GPTalk, Happy Miner e SynthNet. GPTalk era collegata ad un account TikTok, mentre SynthNet ad un canale Telegram e ad un account Twitter. Inoltre, SynthNet veniva sponsorizzata anche in alcuni video su YouTube.

Si tratta, quindi, di una campagna chiaramente orchestrata ad arte per attirare utenti non esperti di criptovalute, con la promessa di soldi facili.

Le 33 app con il malware FakeTrade

Le 4 app appena descritte venivano scaricate da siti di phishing o da store alternativi e non dal Play Store di Google. Un’attenta analisi del loro codice, però, ha portato i ricercatori di Trend Micro a scoprire che lo stesso gruppo di criminali è attivo anche sul Google Play Store con oltre 30 app infette dal virus FakeTrade.

In estrema sintesi si tratta di app che promettono guadagni facili agli utenti in cambio dello svolgimento di semplici compiti, come guardare della pubblicità o svolgere dei sondaggi. Al momento di riscuotere il credito, però, entra in azione il malware che dirotta il denaro sui conti dei criminali.

Le app sono in pratica tutte uguali, sviluppate a partire da un template comune e con la sola interfaccia grafica modificata. Alcune sono addirittura identiche, ma in lingue diverse (hanno però lo stesso nome). Ecco l’elenco delle 33 app infette da FakeTrade:

• AMA
• BBShop
• Canyon
• Compass
• Compose
• Domo
• Envoy
• Fair
• FIRETOSS
• Gobuy
• GoDo
• Goshop
• Huge
• Koofire
• Leefire
• Moshop
• Moshop
• NtBuy
• Onefire
• Papaya
• PuddingA
• Saya
• SengreSmartz
• Tango
• Timeshop
• Tinuiti
• Upwork
• Upwork
• WebFx
• WebFX
• Youtech
• Youtech
• Youtech

Cosa deve fare l’utente

Le due campagne di attacco agli smartphone Android, pur avendo dietro gli stessi soggetti, sono state condotte in maniera diversa. La prima non prevede il download dal Play Store, la seconda sì.

Di conseguenza le prime 4 app vanno cercate e cancellate manualmente, le altre 33 (in teoria) dovrebbero sparire da sole man mano che Google le sbatte fuori dal Play Store (grazie al meccanismo di Google Play Protect).

In entrambi i casi, però, il nostro consiglio è quello di aprire la lista delle app installate sul telefono e cercarle ad una ad una. Se ci sono cancellatele subito, ma se non è possibile cancellarle, allora installate un buon antivirus per Android.