L'app Calculadora de Moneda su Google Play nascondeva il maligno Cerberus Trojan
Google ha ricevuto molte critiche per aver rilasciato troppi malware su Google Play e potresti dire che c'è un'ottima ragione per farlo. Rispetto ad Apple, Google ha adottato una politica molto più liberale quando si tratta di consentire la pubblicazione di app sul Play Store e la frequenza con cui il malware scivola attraverso le fessure mostra che i controlli non sono abbastanza rigorosi. Detto questo, a volte, gli hacker sono particolarmente determinati a mantenere segreto il loro intento malizioso. Ieri, ad esempio, i ricercatori di Avast ci hanno raccontato i trucchi intelligenti che i criminali informatici hanno usato per nascondere un recente attacco agli utenti spagnoli.
Table of Contents
Gli hacker hanno pubblicato un convertitore di valuta su Google Play
L'operazione è iniziata a marzo, quando gli operatori del trojan bancario Cerberus hanno pubblicato un'app sullo store ufficiale di Android. L'applicazione si chiamava "Calculadora de Moneda" (in spagnolo per "calcolatore di valuta") e gli hacker non hanno avuto assolutamente problemi a passare i controlli di sicurezza di Google.
Questo perché non c'era nulla di malevolo. La versione iniziale di Calculadora de Moneda era completamente benigna e funzionava persino come convertitore di valuta. L'obiettivo era guadagnare la fiducia degli utenti e guadagnarla. Secondo Avast, un paio di giorni fa, l'app del convertitore di valuta aveva circa 10 mila download.
La cronologia non è perfettamente chiara, ma ad un certo punto tra marzo e luglio è iniziata la fase dannosa dell'operazione. Gli hacker hanno inviato un aggiornamento che conteneva alcune righe di codice che in seguito avrebbero scaricato e installato Cerberus. Tuttavia, non avevano fretta di attivarlo. Il codice è rimasto inattivo ed è stato attivato solo un paio di giorni fa.
I criminali hanno dispiegato il trojan bancario Cerberus pochi giorni fa
Il codice dannoso ha contattato il server Command & Control (C&C) dei criminali e scaricato un file APK che, se eseguito, avrebbe installato il trojan bancario Cerberus.
Cerbero è una minaccia formidabile. Potrebbe essere in circolazione da circa un anno, ma ha già fatto un nome per se stesso e diversi attacchi negli ultimi mesi suggeriscono che i suoi operatori hanno un interesse particolare per gli utenti di lingua spagnola.
Il rapporto di Avast non dice a quale applicazione bancaria si rivolge, ma spiega che ruba le password disegnando una sovrapposizione sui moduli di accesso delle app ed esfiltrando le credenziali immesse. Il trojan ha anche la capacità di leggere messaggi di testo e rubare codici di autenticazione da app come Google Authenticator, il che significa che è in grado di bypassare l'autenticazione a due fattori.
È difficile dire quante persone siano state colpite, ma come puoi vedere, sono state tutte messe a serio rischio. È una buona cosa che l'attacco sia finito.
La distribuzione è stata interrotta... per ora
L'app Calculadora de Moneda ha iniziato a scaricare Cerberus ad un certo punto il 6 luglio, ma poche ore dopo, la distribuzione si è interrotta. Il payload C&C e il malware sono diventati inattivi e l'app del convertitore di valuta ha continuato a funzionare normalmente.
Potrebbero esserci un paio di ragioni per la decisione dei truffatori di abbreviare la campagna. Potrebbero sperare che l'attacco più piccolo li aiuti a sfuggire al rilevamento. In alternativa, i loro piani potrebbero essere cambiati dopo che i ricercatori di Avast hanno intercettato la campagna. Non dovremmo nemmeno scartare la triste possibilità che questo sia un test che precede un attacco più grande.
In ogni caso, gli utenti dovrebbero essere consapevoli del rischio e devono sapere cosa fare per mantenersi al sicuro. Per fortuna, in questo caso particolare, il design di Android può aiutarli.
I file APK da fonti di terze parti possono essere pericolosi
I ricercatori di Avast hanno trasmesso le loro scoperte a Google e sebbene sia possibile trovare un'app chiamata "Calculadora de Moneda" su Google Play, l'applicazione dannosa ora dovrebbe essere rimossa. Va detto, tuttavia, che in questo caso particolare, il malware non è stato effettivamente caricato sul Play Store. In questo attacco, il convertitore di valuta ha agito da contagocce e scaricato il payload APK dal C&C degli hacker.
A seconda della versione, Android visualizzerà numerosi avvisi e richiederà le autorizzazioni prima di consentire l'esecuzione di un file APK sul dispositivo. Le precedenti incarnazioni del sistema operativo mobile di Google non ti permetteranno di installare un file APK a meno che tu non modifichi alcune delle impostazioni predefinite.
Questo perché sebbene il malware appaia di tanto in tanto sul Play Store, per la maggior parte, le minacce Android sono distribuite tramite file APK ospitati su siti Web di terze parti. Gli sviluppatori di Android sanno quanto è grande il rischio di eseguire tali file e stanno cercando di avvisarti. Tutto quello che devi fare è ascoltare.
