
Gli esperti di ThreatFabric hanno scoperto che i trojan bancari distribuiti tramite Google Play Store hanno infettato più di 300.000 dispositivi. Il malware si è travestito da scanner di codici QR funzionanti, scanner PDF, app per il fitness e autenticazione a due fattori.
Dopo essersi infiltrati nel dispositivo, i malware hanno cercato di rubare le credenziali dell’utente entrando nelle applicazioni. Il furto di identità è stato in genere effettuato con sovrapposizioni visualizzate nella parte superiore della schermata di accesso effettiva.
I ricercatori scrivono di aver trovato quattro campagne dannose per distribuire trojan bancari attraverso il Google Play Store. Inoltre, i recenti cambiamenti nella politica di Google e il maggiore controllo sulle applicazioni hanno costretto gli aggressori a cambiare tattica ed evitare il rilevamento in modo più efficace.
In particolare, gli hacker ora stanno creando applicazioni dall’aspetto realistico su un’ampia varietà di argomenti, tra cui fitness, criptovaluta, scanner di codici QR, lavoro con PDF e così via.
Inoltre, creano siti Web falsi che corrispondono all’oggetto dell’applicazione per rendere più facile per il malware superare i controlli di Google. ThreatFabric rileva inoltre che spesso tali applicazioni vengono distribuite solo in determinate regioni o diventano dannose solo nel tempo.
“La sorveglianza di Google ha costretto gli hacker a cercare nuovi modi per mascherare meglio le app. Oltre a migliorare il malware stesso, sono migliorate anche le campagne di distribuzione su Google Play. Ad esempio, per molto tempo sono stati introdotti su Google Play piccoli aggiornamenti attentamente pianificati, contenenti malware e dropper specializzati per lo stesso argomento che vogliono impersonare (ad esempio, un sito di fitness funzionante per un’applicazione orientata all’allenamento )”
hanno detto gli esperti.
Una volta installata, tale applicazione comunica silenziosamente con il server dell’attaccante, in attesa di comandi.
Al momento giusto, il server dice all’applicazione di eseguire un falso “aggiornamento”, che alla fine scaricherà ed eseguirà il malware sul dispositivo. Dal luglio 2021, quattro trojan bancari hanno diffuso applicazioni dannose: Alien, Hydra, Ermac e Anatsa.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

VulnerabilitàWhatsApp, l’app di messaggistica di Meta con oltre 3 miliardi di utenti attivi mensili, ha iniziato a introdurre modifiche tecniche per mitigare alcune vulnerabilità legate alla privacy dei dispositivi degli utenti. Le correzioni, individuate tramite…
Cyber ItaliaIl CERT-AGID ha individuato una nuova campagna di smishing che utilizza il nome dell’INPS come esca per sottrarre informazioni personali e documenti sensibili ai cittadini. L’operazione fraudolenta è stata rilevata nei primi giorni di gennaio…
HackingUn recente evento ha visto un hacker anonimo rendere pubblica una chiave di sicurezza cruciale, impiegata da Sony per salvaguardare l’integrità della catena di trust nella console PlayStation 5. Questa chiave di sicurezza, conosciuta con…
InnovazionePentestAgent è un altro nuovo progetto open source sviluppato dal gruppo GH05TCREW che mira a supportare le attività di penetration testing attraverso l’uso di agenti basati su modelli linguistici. Il tool è progettato per funzionare…
CybercrimeIl Dipartimento del Tesoro degli Stati Uniti ha inaspettatamente rimosso dalla sua lista di sanzioni tre individui precedentemente accusati di legami con Intellexa, lo sviluppatore dello spyware Predator. La decisione è stata presa a seguito…