Codice Fiscale 2022: attenzione all'app Android che contiene un trojan bancario!

Codice Fiscale 2022: attenzione all'app Android che contiene un trojan bancario!

C'è un'app sul Play Store di Google che prende di mira gli utenti italiani con un trojan bancario che può rubare credenziali ed effettuare transazioni non autorizzate

di pubblicata il , alle 08:01 nel canale Sicurezza
 

All'interno del Google Play Store sono stati individuati diversi malware-dropper per Android che si mascherano da aggiornamenti di app, ma hanno lo scopo di andare a recuperare ed installare trojan bancari che possono sottrarre le credenziali di accesso dell'utente e compiere transazioni non autorizzate.

I malware dropper rappresentano una categoria di app difficile da arginare poiché al loro interno non contengono alcun codice dannoso e per questo motivo riescono a passare più facilmente le analisi di Google Play quando vengono inviate allo store per la distribuzione. Parallelamente anche gli utenti non sospettano nulla, poiché essi mettono a disposizione la funzionalità pubblicizzata e compiono il loro operato dannoso dietro le quinte.

Sono i ricercatori di Threat Fabric ad aver scoperto il nuovo gruppo di dropper, segnalando inoltre un incremento nella diffusione ed uso di questi strumenti proprio per via della loro efficacia. La prima campagna individuata da Threat Fabric risale all'inizio del mese di ottobre e diffonde il trojan bancario noto come SharkBot, un malware che sottrae credenziali di accesso ai servizi bancari online sfruttando false richieste di accesso mascherate da moduli di accesso a siti Web legittimi, oppure ancora sfruttando tecniche di keylogging, rubare e nascondere messaggi SMS e prendere controllo remoto su un dispositivo mobile.

I ricercatori hanno individuato in particolare due app "dropper" dall'aspetto apparentemente innocuo, una delle quali interessa da vicino il pubblico italiano: si tratta di "Codice Fiscale 2022", un'app che viene usata per calcolare il codice fiscale di qualsiasi cittadino a partire dai suoi dati anagrafici. Codice Fiscale 2022 è stata scaricata 10 mila volte. L'altra app è "File Manager Small, Lite" per gestire i file sul dispositivo.

Quando l'utente installa una di queste due app, alla fine gli viene chiesto di procedere all'installazione di un aggiornamento fasullo, che in realtà è il malware SharkBot vero e proprio. La richiesta viene mascherata come una pagina Google Play, ingannando l'utente per indurlo a toccare il pulsante "Aggiorna". 

La versione di SharkBot che viene installata tramite Codice Fiscale 2022 prende di mira nello specifico gli istituti bancari italiani, facendo uso di overlay di accesso falsi, intercettando SMS per i codici di autenticazione a due fattori e sfruttando funzionalità di keylogging e di furto di cookie. Per quanto riguarda File Manager Small, Lite, invece, la versione di SharkBot si rivolge ad un ventaglio di bersagli più ampio, comprendendo anche istituti bancari del Regno Unito, Spagna, Polonia, Austria, Australia e Stati Uniti.

Un'altra campagna di malware-dropper riguarda Vultur, anch'esso trojan bancario che viene distribuito tramite le app Zetter Authentication (10 mila download), My Finances Tracker (mille download) e Recover Audio, Images and Videos (100 mila download).

Threat Fabric osserva che la distribuzione di malware tramite i dropper su Google Play è il metodo più semplice per raggiungere le vittime con poco impiego di risorse. C'è comunque un punto debole in questa tecnica, che è la necessità di richiedere un'azione manuale da parte della vittima. Tuttavia le strategie di mascheramento riescono a dimostrarsi spesso molto efficaci, traendo in inganno gli utenti.

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
supertigrotto29 Ottobre 2022, 10:35 #1
Non era che non bisognava mai installare app al di fuori del Google store?
Cavoli mi viene in mente quanto fosse schifoso Windows phone,era meglio comprare il gooooggle o l'eippol perché sono i più meglio e lo schermo è una figata.
randorama29 Ottobre 2022, 11:15 #2
Originariamente inviato da: supertigrotto
Non era che non bisognava mai installare app al di fuori del Google store?
Cavoli mi viene in mente quanto fosse schifoso Windows phone,era meglio comprare il gooooggle o l'eippol perché sono i più meglio e lo schermo è una figata.


windows phone era una figata
TorettoMilano29 Ottobre 2022, 11:30 #3
una cosa non ho capito dall'articolo, ma disabilitare da impostazioni l'installazione di apk esterni protegge pure da queste minacce o questo trojan raggira questo blocco?


edit: cercando su google al volo ho trovato questo:
"To install additional Android packages from a remote server, Google requires apps to request the 'REQUEST_INSTALL_PACKAGES.' However, newer versions of Android warn about the dangers of this permission, making it harder to convince users to install the 'update.'

The dropper instead opens a webpage made to appear like Google Play, tricking the user into tapping the "Update" button from the browser and thus bypassing the need for this permission."

cioè per installare ste cose non c'è bisogno di alcun permesso ma basta un click sbagliato, mi sembra strano. praticamente sarebbe vulnerabile pure l'android più recente, tenendo conto abbiamo ormai quasi tutti spid, app pagamento/banca su smartphone la situazione sarebbe "leggermente" critica
danylo29 Ottobre 2022, 12:34 #4
Originariamente inviato da: TorettoMilano
ma disabilitare da impostazioni l'installazione di apk esterni protegge pure da queste minacce o questo trojan raggira questo blocco?

Di default quella impostazione e' disabilitata. Per attivarla, bisogna farlo volutamente
Darkon29 Ottobre 2022, 12:43 #5
Originariamente inviato da: TorettoMilano
ng the need for this permission."

cioè per installare ste cose non c'è bisogno di alcun permesso ma basta un click sbagliato, mi sembra strano. praticamente sarebbe vulnerabile pure l'android più recente, tenendo conto abbiamo ormai quasi tutti spid, app pagamento/banca su smartphone la situazione sarebbe "leggermente" critica


Come ti hanno già risposto non è che basta un click sbagliato. Il sistema ti dice chiaramente che stai installando un APK da un sito diverso dal market ufficiale e che questo comporta gravi problemi di sicurezza.

se hai un telefono android puoi provare ad esempio scaricando Tachiyomi che è una app innocua per leggere webtoons ma sviluppata open source e quindi senza le firme dello store di google.

Quando vai a installarla ti dice chiaramente che stai installando da un sito che non è lo store.

Poi come sempre se sai quello che fai trovi cose opern source utilissime; se non sai quello che fai dovresti astenerti perché è da stupidi eseguire codice dubbio su un terminale dove ormai hai account critici e tre quarti delle tue cose private.
Alvaro.boni29 Ottobre 2022, 13:17 #6
Originariamente inviato da: danylo
Di default quella impostazione e' disabilitata. Per attivarla, bisogna farlo volutamente


Ed è anche nascosta nelle opzioni da sviluppatore che di default non sono visibili. Quindi un utente medio non sa neanche della sua esistenza
TorettoMilano29 Ottobre 2022, 13:30 #7
nella parte in inglese invece viene proprio precisato che non vengono chiesti permessi o popup di alert. dovete leggere l’ultima frase e non la prima
TorettoMilano30 Ottobre 2022, 16:42 #9
guardando le immagini qui
https://www.phonearena.com/news/del...ps-now_id143382
sembra effettivamente la classica installazione da apk esterni, quindi per andare a segno il malware immagino debba essere abilitata l'installazione da apk esterni. sempre che il download di apk tramite app non possa in qualche modo raggirare questo vincolo
zappy30 Ottobre 2022, 18:20 #10
Originariamente inviato da: TorettoMilano
una cosa non ho capito dall'articolo, ma disabilitare da impostazioni l'installazione di apk esterni protegge pure da queste minacce o questo trojan raggira questo blocco?


a me pare che l'app sia perfettamente legittima, MA quando la installi chiede di scaricare un aggiornamento.
visto che praticamente qualunque app ha diritti di accesso alla rete, può comunque scaricare quello che vuole da dove vuole... :

il problema degli smartphone è che sono troppo blindati per motivi di marketing, obsolescenza programmata e profilazione, non puoi fare quello che vuoi, ma comunque dietro questa apparente sicurezza sono dei colabrodo.
potessi accedere come root quando ti pare, e controllare davvero cosa fa (magari con un firewall che ti configuri TU), sarebbero molto più sicuri.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^