Camuffato da app di conversione valuta, è stato scaricato più di 10.000 volte
I ricercatori del team Mobile Threat Labs di Avast, leader mondiale della sicurezza informatica, hanno scoperto il trojan bancario Cerberus su Google Play, camuffato all’interno dell’applicazione legittima “Calculadora de Moneda“, scaricata più di 10.000 volte dagli utenti Android in Spagna.
Secondo i ricercatori di Avast, l’applicazione ha nascosto le sue intenzioni maligne per le prime settimane pur essendo disponibile sul negozio, probabilmente per acquisire utenti e guadagnare la loro fiducia, prima di iniziare qualsiasi attività dannosa che avrebbe potuto attirare l’attenzione dei ricercatori di sicurezza o del team Play Protect di Google.
In un secondo momento l’app – attraverso i comandi impartiti da un server di comando e controllo (C&C) – ha attivato il trojan bancario Cerberus, sovrapponendosi alla app legittima per l’home banking già presente sul dispositivo dell’utente.
In questa fase finale, Cerberus è in grado di rubare tutti i dati di accesso al conto corrente, leggere i messaggi di testo e i dettagli di autenticazione a due fattori, il che significa che è in grado di bypassare tutte le misure di sicurezza.
Nel caso di “Calculadora de Moneda” il server C&C in questione e il suo payload sono stati attivi fino a qualche giorno fa, per poi smettere di inviare il codice malevolo. Si tratta di una tattica che i truffatori usano spesso per nascondersi dal rilevamento, limitando la finestra temporale in cui è possibile scoprire l’attività dannosa.
Tutti i risultati di questa ricerca sono stati segnalati a Google.
Ciò che ha destato particolare interesse e che ha caratterizzato questa campagna in esame è stato il modo in cui il trojan bancario è riuscito a intrufolarsi subdolamente sul Google Play Store.
Come proteggersi dai mobile banking Trojan
Gli esperti di Avast raccomandano agli utenti di adottare le seguenti misure per proteggersi da questo tipo di minacce:
• Verificare che l’app bancaria in uso sia certificata. Se l’interfaccia sembra sconosciuta o strana, ricontrollare con il team del servizio clienti della banca
• Utilizzare l’autenticazione a due fattori se la banca lo offre come opzione.
• Affidarsi solo ad app store affidabili, come Google Play o App Store di Apple. Anche se il malware in questione si trovava su Google Play, il suo payload è stato scaricato da una fonte esterna. Disattivando l’opzione per scaricare app da altre fonti, si potrà evitare questo tipo di Trojan bancario.
• Prima di scaricare una nuova app, controllare le valutazioni degli utenti. Se ci sono molte recensioni negative, probabilmente si tratta di una app da non utilizzare.
• Prestare attenzione alle autorizzazioni richieste da un’app. Nel caso di eccessive richieste, è da considerarsi come un campanello d’allarme.
• Spesso il malware chiederà di diventare amministratore del dispositivo per ottenerne il controllo. Mai concedere questa autorizzazione a meno che non si ritenga davvero necessario.
• Utilizzare un’app di sicurezza che rileva e protegge anche dalle minacce di questo tipo.