Trovate 470 app infette con Dark Herring: centinaia di milioni rubati agli utenti
I ricercatori di Zimperium Labs hanno scoperto, da marzo 2020 ad oggi, 470 app per Android infette con il virus Dark Herring, che ha un modo di agire molto furbo e pericoloso
Sono ben 470 le app infette scovate sul Play Store di Google e su altri app store di terze parti dai ricercatori di Zimperium Labs, con oltre 105 milioni di download fino ad ora collezionati. Queste app hanno già causato perdite economiche agli utenti che le hanno installate, per centinaia di milioni di dollari.
Le app in questione contengono tutte il virus Dark Herring e, apparentemente, sono tutte pulite tanto è vero che hanno passato senza grossi problemi sia i controlli di Google Play Store che quelli degli altri store alternativi. E, su questi store, ci stanno anche da parecchio: secondo Zimperium Labs sono state caricate tutte più o meno a Marzo 2020. Quasi due anni, quindi, durante i quali il virus si è diffuso senza ostacoli infettando milioni e milioni di smartphone con un solo scopo finale: sottrarre denaro dal credito telefonico dell’utente. Scopo perfettamente ottenuto, purtroppo.
Come funziona Dark Herring
Dark Herring, tecnicamente, non sembra neanche un malware: le app che lo contengono non fanno accendere alcun campanello d’allarme, non chiedono autorizzazioni strane né contengono codice noto per essere pericoloso. Dark Herring, infatti, si basa sul “Direct Carrier Billing“, cioè l’addebito in bolletta per l’acquisto di beni e servizi.
Il Direct Carrier Billing è qualcosa di assolutamente legale, che molti operatori telefonici usano da anni per offrire servizi aggiuntivi agli utenti facendoglieli poi pagare regolarmente tramite il credito della SIM. La stessa tecnica, però, può essere usata anche senza che l’utente se ne accorga per sottrarre denaro in modo illecito.
Basta scalare importi piccolissimi, ma molto spesso: l’utente non si accorgerà di nulla, perché non vede una grossa cifra che sparisce di colpo dal conto telefonico. Il trucco ha funzionato e ai 105 milioni di utenti delle 470 app è stato sottratto, in media, l’importo di 15 dollari a testa al mese. Cioè oltre 150 milioni di dollari al mese, per mesi e mesi.
Attenti al sito Web
Per ottenere questo risultato, però, il malware ha bisogno di un passaggio fondamentale: l’utente deve inserire manualmente il suo numero di telefono all’interno di un form per l’attivazione del servizio non voluto.
L’ingegneria sociale, come sempre, ha fornito la soluzione: le 470 app infette portano l’utente verso una pagina di un sito Web, localizzata nella sua lingua (l’infezione ha toccato 70 Paesi diversi), all’interno della quale l’utente doveva inserire il suo numero per attivare le funzioni dell’applicazione.
L’utente si fidava, inseriva il numero e, apparentemente, non succedeva niente di strano. Dark Herring, in realtà, aveva già iniziato a sottrarre minuscole somme di denaro dal suo credito telefonico.
