Scaricare app da fonti esterne al Play Store senza avere la certezza della loro legittimità o che provengano da una fonte affidabile può risultare rischioso. Questa pratica rappresenta un punto di partenza per numerosi attacchi malware. Gli attaccanti sfruttano l’ignoranza o la buona fede degli utenti di internet. Recentemente, è emerso un nuovo trojan bancario che colpisce i dispositivi Android come promemoria di tali pericoli.
scoperta di TsarBot, un trojan bancario per Android che si finge app finanziarie legittime
Il team di ricerca della società di intelligence sulle minacce informatiche Cyble, ha identificato il trojan bancario denominato “TsarBot”. Secondo il rapporto, TsarBot si maschera da dropper all’interno dei Google Play Services e si diffonde attraverso tecniche di phishing. Gli attaccanti clonano siti web o piattaforme popolari nel tentativo di ingannare le vittime potenziali affinché scarichino e installino il malware sui loro dispositivi.
I ricercatori in cybersecurity affermano che TsarBot ha cercato di impersonare oltre 750 app popolari a livello globale. I suoi sviluppatori puntano principalmente agli utenti delle app bancarie, fintech, e-commerce e criptovalute. L’obiettivo principale del malware è rubare credenziali e fondi prima che l’utente se ne accorga.
TsarBot utilizza attacchi overlay, una tecnica in cui il malware sovrappone schermate o finestre false che simulano quelle delle app legittime per richiedere le credenziali dell’utente. Potrebbe riprodurre ad esempio la schermata di accesso della propria app bancaria o anche quella del blocco dello schermo del telefono. Quando l’utente inserisce le proprie informazioni su questa schermata fraudolenta, esse vengono inviate a un server remoto controllato dagli attaccanti.
Cybile sostiene inoltre che il trojan bancario impiega altre metodologie per aumentare la sua efficacia, tra cui registrazione dello schermo e controllo remoto del dispositivo.
Sospettando un’origine russa, i ricercatori hanno trovato stringhe in lingua russa durante l’analisi dell’app infetta.
il malware non può agire senza le autorizzazioni necessarie
È importante sottolineare che affinché il malware possa eseguire tutte le azioni descritte sopra, necessita di permessi speciali. Un’app non può effettuare tali comandi se non riceve prima l’approvazione dell’utente. È fondamentale pertanto non concedere ogni autorizzazione richiesta da un’applicazione, soprattutto quando si tratta di permessi sensibili e ancor più se provenienti da fonti dubbie. Android cerca di proteggere gli utenti contro questi attacchi, ma è necessario anche usare buon senso: consentendo al malware di operare liberamente, il sistema operativo non può fermarlo.
Sempre meglio scaricare le applicazioni direttamente dal Play Store quando possibile; nel caso si decida di scaricarle da siti esterni è essenziale verificare la legittimità e l’affidabilità della fonte.
Lascia un commento