Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/xenomorph-e-il-nuovo-malware-bancario-su-android-con-50-mila-installazioni-prese-di-mira-le-app-di-12-banche-italiane_105034.html

Diffuso tramite un'app per il miglioramento delle prestazioni, il nuovo malware è ancora in via di sviluppo, ma non per questo una minaccia da sottovalutare

Click sul link per visualizzare la notizia.

fast cleaner....lo dice pure...pulizia veloce...si, del conto in banca ! :muro:

...a conferma che non bisogna installare "boiate" nello smartphone, specie se si usano app della banca.

Fast Cleaner recupera il payload del malware dopo essere stato installato, quindi l'applicazione risulta legittima e "pulita" al momento del download dallo store.

ma che bellezza, queste eventualità spero non ci siano per tutte le app android

Troppo rischiose le crypto, se poi ti rubano la password del wallet... Ah no, aspè. :D

Parla di installazioni non di conti svuotati. Anche craccassero la app o il telefono ci farebbero poco.

Per fortuna non c'è Unicredit.. fa schifo pure al virus ... :asd:

ma che bellezza, queste eventualità spero non ci siano per tutte le app android

Non capisco infatti perché cavolo google non tolga la possibilità di eseguire codice arbitrario scaricato dalle app... mah

Pe fortuna non c'è Unicredit.. fa schifo pure al virus ... :asd:

Esatto ! :D

Mi son sentito "sollevato" a vedere che non è in lista...per ora...!

Si diceva che un computer sicuro è un computer spento e con la spina staccata. Adesso si può sicuramente dire che un cellulare sicuro è quello dove non c'è il conto corrente dentro e quindi ti possono rubare tutti i soldi che vogliono tanto contiene zero euro.

Aggiungiamo a questo trojan bancario che scarica il payload in un secondo tempo la SIM swap di cui si parlava una o due settimane fa e il conto corrente sullo smartphone fa il botto.

Per fortuna non sono citrullo.

Premetto che sto lontano da Android proprio per queste notizie sistematiche.
Premesso questo, il tuo è il solito ragionamento tipico che è possibile riportare pari pari nella vita di tutti i giorni: se lasci aperta l'auto, senza la chiave che dialoga con l'immobilizer ci farebbero poco, quindi chissene... La finestra? La lascio aperta. Tanto ho le inferriate antintrusione.
Incominciamo a fare in modo che non sia possibile installare il nuovo e ventordicesimo (ormai ho perso i conti) malware che viene distribuito tramite Google Play Store, poi dopo pensiamo al resto.
Certo che se lasci scoperta la porta principale, poi dopo basta solo l'immaginazione per poter aprire le altre.

Quello che chiedi è impossibile.

Se domani abbandonassimo tutti android e passassimo tutti a apple fioccherebbero i malware per apple.

Puoi rendere le cose più difficili, puoi cercare di blindare il sistema ma NESSUN e ripeto NESSUN sistema online è sicuro.

Un tempo la stessa diatriba, identica eh, c'era tra linux, mac e windows con a rotazione gente che sosteneva ma perché comprano windows che prendo il virus/malware/spyware ecc... ecc...

EH perché? Perché tanto sei comunque su qualsiasi sistema online in pericolo e quindi compri quello che ti è più comodo.

Troppo rischiose le crypto, se poi ti rubano la password del wallet... Ah no, aspè. :D

Ma cosa c’entrano le crypto adesso con una app che ti “ruba” informazioni?
Solo perché per il momento ruba quelle bancarie? Non potrebbero rubare le informazioni di un wallet se volessero?

:muro:

Il tuo discorso è comprensibilissimo.
Ma i ladri vanno sempre prima dove è più facile entrare e non dove è più difficile.

E si torna al discorso che già abbiamo fatto e cioè che questi malware rappresentano lo 0,01% delle truffe mentre la stragrande maggioranza avviene raggirando l'utente e convincendolo a dare le credenziali telefonicamente.
Per fare un paragone è come convincersi che la priorità sia studiare un sistema di difesa contro i meteoriti invece che proteggersi da un fulmine.

Non solo...se parliamo dei due sistemi sarebbe anche più facile trovare il "grano" nei clienti Apple piuttosto che in quelli Android considerato che il 64% degli americani possiede almeno un prodotto Apple.

Contrariamente a quanto si pensa chi ha tanta liquidità spesso è anche mediamente più preparato e cade meno di frequente nelle truffe a parità di sistemi informatici. Per fartela breve è più semplice e rapido fare 100.000€ rubando 1000€ a 100 persone che non fare gli stessi soldi rubando 50.000 a 2 persone.

La verità sta nel mezzo: Android si presta molto bene a questo tipo di attacchi per via della sua frammentazione e anche per i i suoi aggiornamenti praticamente inesistenti.

Togli Android e metti windows e hai esattamente la stessa frase che veniva scritta 20 anni fa. Sia chiaro non sto dicendo che non sia vero eh... è vero. Ma continui a sopravvalutare un rischio che nella pratica è molto basso e sottovalutare un rischio che nella pratica è il maggiore.
Un malware del genere, quello nell'articolo, quante vittime fa? Qualche migliaio? Le vittime di truffa per esempio con il semplice sms e poi furto di credenziali con finta chiamata si contano a decine di migliaia.

Io non ho ancora trovato un device dove per almeno 7 anni ricevi aggiornamenti ufficiali.

Che non ti farebbero alcuna differenza perché in questo caso non dipende da aggiornamenti ufficiali l'eventuale protezione ma da un utente che decide di installare o meno un determinato prodotto e da come è fatta l'app bancaria.
Anche se avessi android all'ultimissima patch di protezione almeno che io sappia non inciderebbe in nessun modo.

evitiamo l'infinitesima volta la diatriba sicurezza ios vs android.
io ai miei cari faccio prendere iphone aggiornati all'ultimo e sto senza pensieri, se altri preferiscono fargli tenere smartphone con os di 4 anni fa a me sta bene :D

io utilizzo solo smartphone android one. Due anni e poi li cambio. E ho gli aggiornamenti di sicurezza mensili. Ovviamente non compro modelli che costano uno stipendio, ma molto molto meno. E non installo minchiate strane.

E non installo minchiate strane.
ecco, diciamo che già solo questo ti mette al riparo dalla quasi totalità dei problemi, sia che hai il telefono da 1200€ che quello da 200€

evitiamo l'infinitesima volta la diatriba sicurezza ios vs android.
io ai miei cari faccio prendere iphone aggiornati all'ultimo e sto senza pensieri, se altri preferiscono fargli tenere smartphone con os di 4 anni fa a me sta bene :D
eh ma la diatriba salta fuori perchè ad ogni news di questo genere, salta fuori il discorso aggiornamenti, che in questo come tutti gli altri avvenuti finora, non centra nulla, perchè non ti fottono i soldi sfruttando una vulnerabilità non corretta del sistema operativo, ma bensi sfruttando una vulnerabilità insita nell'essere umano che ci striscia sopra le dita, e il sistema funziona anche sugli iphone ultimo modello con le ultime patch di sicurezza, andrebbe patchato l'essere umano quello si !


Che non ti farebbero alcuna differenza perché in questo caso non dipende da aggiornamenti ufficiali l'eventuale protezione ma da un utente che decide di installare o meno un determinato prodotto e da come è fatta l'app bancaria.
Anche se avessi android all'ultimissima patch di protezione almeno che io sappia non inciderebbe in nessun modo.

ecco, diciamo che già solo questo ti mette al riparo dalla quasi totalità dei problemi, sia che hai il telefono da 1200€ che quello da 200€

appunto !

eh ma la diatriba salta fuori perchè ad ogni news di questo genere, salta fuori il discorso aggiornamenti, che in questo come tutti gli altri avvenuti finora, non centra nulla, perchè non ti fottono i soldi sfruttando una vulnerabilità non corretta del sistema operativo, ma bensi sfruttando una vulnerabilità insita nell'essere umano che ci striscia sopra le dita, e il sistema funziona anche sugli iphone ultimo modello con le ultime patch di sicurezza, andrebbe patchato l'essere umano quello si !

ok non c'entra nulla l'os. quindi questa parte dell'articolo, precedentemente quotata, "Fast Cleaner recupera il payload del malware dopo essere stato installato, quindi l'applicazione risulta legittima e "pulita" al momento del download dallo store" era possibile pure su ios? quindi una persona distratta ha la stessa possibilità di essere truffato scaricando l'appX a caso su app store o su play store? se la risposta è si a ambedue le domande hai ragione tu :boh:

ecco, diciamo che già solo questo ti mette al riparo dalla quasi totalità dei problemi, sia che hai il telefono da 1200€ che quello da 200€

È questo che sto cercando di dire dall'inizio: non è tanto avere l'ultima patch di sicurezza o quella di 4 anni fa. nel 99,99% dei casi dipende solo e soltanto dall'utente a prescindere dall'OS che hai ivi compresi OS desktop, OS mobile ecc... ecc...

ok non c'entra nulla l'os. quindi questa parte dell'articolo, precedentemente quotata, "Fast Cleaner recupera il payload del malware dopo essere stato installato, quindi l'applicazione risulta legittima e "pulita" al momento del download dallo store" era possibile pure su ios?

Sì, con sistemi ovviamente diversi perché l'OS è completamente diverso ma sì.

D'altra parte la riprova è che anche apple ha il jailbreak che per l'OS non è altro che un hacking (voluto in quel caso ma sempre hacking rimane).

Ripeto per la millesima volta: NON esiste un sistema online che sia immune da malware o virus.

quindi una persona distratta ha la stessa possibilità di essere truffato scaricando l'appX a caso su app store o su play store?

Non ho dati per poterlo dire con certezza quindi prendi la risposta con le molle. Secondo me la risposta è no per il semplice fatto che la filosofia dell'apple store è estremamente più restrittiva quindi è relativamente meno probabile.

Il punto però è che non c'entrano niente gli aggiornamenti e che comunque parliamo di probabilità talmente basse da essere ridicole. Per fare un paragone è assurdo che uno dica compro il cellulare X rispetto a Y perché mi sento più sicuro e poi si collega dal PC di lavoro, dal PC di casa o peggio mi sento da qualche wifi in giro per il mondo.

Poi non sta a me e nemmeno voglio convincere nessuno che apple sia meglio o android sia meglio e compagnia bella. Trovo solo esilarante questa rincorsa all'aggiornamento che sembra quasi che ci siano squadre di hacker abilissimi lì pronti ad aspettare che non aggiorni lo smartphone.

Ripeto guardiamo ai numeri: la truffa bancaria per eccellenza è quella degli SMS in cui le persone danno le credenziali senza alcun tipo di hacking di nessuna sorta con un distacco rispetto anche solo alla seconda devastante.

Sì, con sistemi ovviamente diversi perché l'OS è completamente diverso ma sì.

D'altra parte la riprova è che anche apple ha il jailbreak che per l'OS non è altro che un hacking (voluto in quel caso ma sempre hacking rimane).

Ripeto per la millesima volta: NON esiste un sistema online che sia immune da malware o virus.


sul forum c'è qualcuno, anche solo una persona, che abbia detto ios sia sicuro al 1000%? ti rispondo io: nessuno. senza essere esperti di informatica tra OS e gestione dello store delle app o mi sento profondamente più sicuro con ios e allo stato attuale, gestendo denaro con lo smartphone, non ho nemmeno la lontana idea di passare a android. passo per fanboy? tanti ca**i

Be' ognuno ha il sacrosanto diritto ad utilizzare il sistema che ritiene più idoneo/sicuro/quello che vuoi, ma pensare ho un iPhone quindi sono al sicuro è la cosa peggiore da fare.

sul forum c'è qualcuno, anche solo una persona, che abbia detto ios sia sicuro al 1000%? ti rispondo io: nessuno.

Nessuno... non lo dire perché gli esaltati li trovi sempre. Diciamo nessuna persona ragionevole.

senza essere esperti di informatica tra OS e gestione dello store delle app o mi sento profondamente più sicuro con ios e allo stato attuale, gestendo denaro con lo smartphone, non ho nemmeno la lontana idea di passare a android. passo per fanboy? tanti ca**i

Quello che mi sento di dirti non è "passa a...." perché te fai bene a usare quello che ti pare e piace. L'unica cosa che mi sento di consigliarti è semplicemente non sentirti più sicuro ma non perché voglia attaccare apple sia chiaro direi la stessa cosa anche a un utente di qualsiasi OS.
Reputo semplicemente sbagliata questa sensazione di sicurezza.

Esattamente quello...

I confronti vanno fatti nelle medesime condizioni.
Non puoi mettere in mezzo il discorso il Jailbreak di iphone con un'app normalissima che installi dallo store e che poi si mette a farsi i cazzi suoi a tua insaputa.
Qua parliamo di un comportamento normale da parte dell'utente (che sia IOS o Android), e che è quello di installarsi un'app dallo store.

Non mi sono spiegato bene:

Non ho detto che devi fare per forza il jailbreak ma che anche su iOS possono esistere app malevole che senza bisogno di fare chissà che ma semplicemente installandole carpiscono informazioni.

Il jailbreak era solo un parallelismo per far capire che per quanto blindato nessun sistema ti può assicurare che quando decidi di installare una app quella non faccia cose che non vorresti.

Ad oggi si studiano i malware proprio per come sotto certi punti di vista siano geniali. Ad esempio i sistemi che usano per camuffare il codice e renderlo irriconoscibile sono al tempo stesso molto semplici ma incredibilmente geniali e funzionano. Il vantaggio di apple è semplicemente che il market è molto più controllato e con paletti estremamente più stretti ma questo non significa che scrivere una app del tutto simile su iOS sia impossibile.

Ripeto con questo NON è assolutamente mia intenzione spalare merda si Apple che ribadisco è e rimane un ottimo sistema. Il messaggio che mi preme far passare è che nessuno dovrebbe avere questa sensazione di sicurezza a prescindere dal sistema che utilizza che sia desktop (qualsiasi OS) o mobile (qualsiasi OS).

ubi banca... che non esiste più da un anno.

ubi banca... che non esiste più da un anno.

Non è esatto.

UBI Banca esiste come controllata del gruppo Intesa San Paolo. Non a caso se cerchi ha ancora il proprio sito e tutto il resto.

fast cleaner....lo dice pure...pulizia veloce...si, del conto in banca ! :muro:

...a conferma che non bisogna installare "boiate" nello smartphone, specie se si usano app della banca.
Dovete dirlo a quelle grandi teste di caxxo che vogliono le app. :muro:
I clienti: che vogliono i giochini colorati.
Le banche: che ti obbligano ad usare la loro app di merda. :rolleyes:

Alcune banche per fortuna permettono ancora la vecchia chiavetta che genera il codice temporaneo, per esempio Unicredit o WeBank

Premetto che sto lontano da Android proprio per queste notizie sistematiche.
...
Incominciamo a fare in modo che non sia possibile installare il nuovo e ventordicesimo (ormai ho perso i conti) malware che viene distribuito tramite Google Play Store, poi dopo pensiamo al resto.
Certo che se lasci scoperta la porta principale, poi dopo basta solo l'immaginazione per poter aprire le altre.
Android c'entra relativamente, avete letto ?

Questa operazione viene effettuata richiedendo le autorizzazioni del servizio di accessibilità
Un problema è quando gli utenti cliccano alla cazzo.

Ma per il Play Store hai ragione anzi peggio, è una ricettacolo di spyware che telefonano a casa per vendersi i tuoi dati. :Puke:

Dimenticavo, che io sappia anche Banco BPM permette la vecchia chiavetta.

Comunque, per quei 4 che stanno leggendo il thread, suggerisco la soluzione:
dividere i dispositivi.

Cioè, la app della banca di merda va installata su un altro dispositivo, diverso da quello che riceve gli SMS :rolleyes:
Per es.:
1) Smartphone, che riceve gli SMS
2) Tablet con la app della banca di merda, che ti autentica, ecc ecc


PS: la soluzione è solo per mitigare il problema. Se la app è di merda e l'utente è pollo, non c'è soluzione che tenga :D

Non è esatto.

UBI Banca esiste come controllata del gruppo Intesa San Paolo. Non a caso se cerchi ha ancora il proprio sito e tutto il resto.

no non esiste proprio piu
è diventata Intesa SanPaolo

avevo il conto con Ubi, Business, e ora sono con banca Intesa, sia come App che come sito che nuova carta, tutto Intesa.

anche gli uffici/sportelli sono stati smantellati.
il sito è li ma non funziona non permette di fare nulla

Esiste solo l'accesso per le vecchie carte di credito per quanto riguarda UBI. Il resto è tutto sotto Intesa oppure sotto Bper per le fliali che Intesa ha ceduto al gruppo di Modena. App UBI non esistono più come non esiste più il gruppo.

Esiste solo l'accesso per le vecchie carte di credito per quanto riguarda UBI. Il resto è tutto sotto Intesa oppure sotto Bper per le fliali che Intesa ha ceduto al gruppo di Modena. App UBI non esistono più come non esiste più il gruppo.

dovrebbe essere partito un programma di rollback the ha portato alla sostituzione anche di quelle.
ma credo venga gestito dal sito di intesa.