Trovate altre 5 app Android che svuotano il conto: quali sono
Scovate altre 5 app infette molto pericolose: tramite il trojan Anatsa spiavano gli smartphone delle vittime e rubavano le password dei conti correnti bancari
Ancora app Android infette che riescono senza grossi problemi a “bucare” le misure di sicurezza del Play Store di Google: Threat Intelligence ne ha scoperte e segnalate ben 5, tutte molto pericolose perché infette con il trojan bancario Anatsa. Queste app riuscivano, con una strategia in più step, a rubare le credenziali bancarie dei conti online delle vittime.
Le 5 app infette scoperte
A differenza di precedenti campagne di infezione, questa volta gli hacker non hanno nascosto il virus in app di gioco bensì in app apparentemente utili per la gestione del telefono: 3 lettori di file PDF e due file manager.
Le app infette scoperte da Threat Intelligence sono queste:
- Phone Cleaner
- PDF Viewer
- PDF Reader
- Phone Cleaner: File Explorer
- PDF Reader: File Manager
Queste app sono tutte infette con il malware Anatsa e hanno già superato i 130 mila download in Europa, con un focus sugli utenti di Regno Unito, Spagna, Slovacchia, Slovenia e Repubblica Ceca.
Perché queste app sono pericolose
Queste 5 app infette seguono uno schema di diffusione e azione ormai collaudato, che ha permesso loro di scavalcare le protezioni del Play Store e di agire indisturbate per mesi.
Inizialmente l’app viene caricata sul Play Store in una versione “pulita“, senza alcun malware all’interno, per poi essere aggiornata nel tempo con la versione infetta. Ma sin da subito l’app chiede alcune autorizzazioni strategiche per funzionare, come i cosiddetti “servizi di accessibilità“.
I servizi di accessibilità sono una tecnologia inclusa in Android tanto nobile quanto pericolosa: in pratica permettono all’app che li può usare di tracciare il comportamento dell’utente e tutto ciò che appare sullo schermo del telefono.
Questi servizi sono stati ideati per permettere il funzionamento di app dedicate ai disabili, specialmente agli ipovedenti: leggendo lo schermo, queste app possono poi usare l’altoparlante per descrivere all’utente cosa c’è a video.
Solo che questa stessa tecnologia viene usata anche da app pericolose, come le 5 appena scoperte, per spiare lo schermo mentre l’utente inserisce dati sensibili, ad esempio il nome utente e la password del conto corrente online.
E’ chiaro che, se un hacker ha entrambe le credenziali di accesso al conto corrente, ci mette pochi minuti a rubare i soldi della vittima. Anche perché, sempre grazie ai servizi di accessibilità, può leggere anche un eventuale codice OTP arrivato sul telefono, necessario ad autorizzare il pagamento o il bonifico.
In più, all’interno del codice di queste app sono stati trovati anche alcuni riferimenti alla One UI, cioè l’interfaccia grafica degli smartphone Samsung. Ciò potrebbe significare che queste app erano state inizialmente programmate per attaccare solo gli smartphone di questa marca, ma in seguito il loro raggio d’azione è stato esteso a tutti i telefoni Android.
Come proteggersi da queste app
Threat Intelligence ha segnalato queste 5 app a Google, che ha provveduto immediatamente a rimuoverle dal Play Store. Chi le cerca ora, quindi, non le trova più.
Anche chi le ha installate in passato, almeno in teoria, non dovrebbe trovarle più nel telefono. Questo perché il sistema Play Protect di Android ordina da remoto ai telefoni di cancellare tutte le app infette che vengono progressivamente escluse dal Play Store.
Come sempre, però, il nostro consiglio è quello di cercare queste app sul proprio smartphone perché Play Protect potrebbe non funzionare sempre al 100%.
Come buona regola di sicurezza preventiva, invece, ricordiamo a tutti i nostri lettori che è importantissimo leggere bene la lista di autorizzazioni richieste dalle app: è evidente che se un lettore di PDF o un file manager ci chiede di accedere ai servizi di accessibilità, allora qualcosa non va.