Codice Fiscale 2022: attenzione all'app Android che contiene un trojan bancario!

All'interno del Google Play Store sono stati individuati diversi malware-dropper per Android che si mascherano da aggiornamenti di app, ma hanno lo scopo di andare a recuperare ed installare trojan bancari che possono sottrarre le credenziali di accesso dell'utente e compiere transazioni non autorizzate.

I malware dropper rappresentano una categoria di app difficile da arginare poiché al loro interno non contengono alcun codice dannoso e per questo motivo riescono a passare più facilmente le analisi di Google Play quando vengono inviate allo store per la distribuzione. Parallelamente anche gli utenti non sospettano nulla, poiché essi mettono a disposizione la funzionalità pubblicizzata e compiono il loro operato dannoso dietro le quinte.

Sono i ricercatori di Threat Fabric ad aver scoperto il nuovo gruppo di dropper, segnalando inoltre un incremento nella diffusione ed uso di questi strumenti proprio per via della loro efficacia. La prima campagna individuata da Threat Fabric risale all'inizio del mese di ottobre e diffonde il trojan bancario noto come SharkBot, un malware che sottrae credenziali di accesso ai servizi bancari online sfruttando false richieste di accesso mascherate da moduli di accesso a siti Web legittimi, oppure ancora sfruttando tecniche di keylogging, rubare e nascondere messaggi SMS e prendere controllo remoto su un dispositivo mobile.

I ricercatori hanno individuato in particolare due app "dropper" dall'aspetto apparentemente innocuo, una delle quali interessa da vicino il pubblico italiano: si tratta di "Codice Fiscale 2022", un'app che viene usata per calcolare il codice fiscale di qualsiasi cittadino a partire dai suoi dati anagrafici. Codice Fiscale 2022 è stata scaricata 10 mila volte. L'altra app è "File Manager Small, Lite" per gestire i file sul dispositivo.

Quando l'utente installa una di queste due app, alla fine gli viene chiesto di procedere all'installazione di un aggiornamento fasullo, che in realtà è il malware SharkBot vero e proprio. La richiesta viene mascherata come una pagina Google Play, ingannando l'utente per indurlo a toccare il pulsante "Aggiorna". 

La versione di SharkBot che viene installata tramite Codice Fiscale 2022 prende di mira nello specifico gli istituti bancari italiani, facendo uso di overlay di accesso falsi, intercettando SMS per i codici di autenticazione a due fattori e sfruttando funzionalità di keylogging e di furto di cookie. Per quanto riguarda File Manager Small, Lite, invece, la versione di SharkBot si rivolge ad un ventaglio di bersagli più ampio, comprendendo anche istituti bancari del Regno Unito, Spagna, Polonia, Austria, Australia e Stati Uniti.

Un'altra campagna di malware-dropper riguarda Vultur, anch'esso trojan bancario che viene distribuito tramite le app Zetter Authentication (10 mila download), My Finances Tracker (mille download) e Recover Audio, Images and Videos (100 mila download).

Threat Fabric osserva che la distribuzione di malware tramite i dropper su Google Play è il metodo più semplice per raggiungere le vittime con poco impiego di risorse. C'è comunque un punto debole in questa tecnica, che è la necessità di richiedere un'azione manuale da parte della vittima. Tuttavia le strategie di mascheramento riescono a dimostrarsi spesso molto efficaci, traendo in inganno gli utenti.