Torna a colpire sul Play Store di Google il BankBot Trojan, un malware in grado di rubare informazioni bancarie sensibili sui dispositivi Android.
Rilevato per la prima volta da un’azienda di sicurezza nel dicembre 2016, il software malevolo è ricomparso più volte in diverse iterazioni, dopo che il codice sorgente del malware è stato rilasciato online.
Secondo i ricercatori di sicurezza di ESET, gli sviluppatori dell’ultima versione del malware si è nascosto con successo in un clone di Jewels Star chiamato Jewels Star Classic, che è anche un nome di un gioco Android “legittimo”. Dal suo rilascio il 26 agosto scorso, fino alla sua rimozione di qualche settimana fa, il 7 settembre, il gioco è stato scaricato oltre 5.000 volte.
Venti minuti dopo il download del gioco, il software chiede all’utente di attivare “Google Service“: una volta concessa l’autorizzazione, lo stesso “Google Service” imposta BankBot come applicazione di messaggistica SMS predefinita, attiva i privilegi di amministratore per il malware e consente al dispositivo di installare applicazioni al di fuori di Google Play Store. Queste azioni avverrebbero tutte sotto una schermata di aggiornamento falso che impedisce all’utente di controllare il dispositivo.
Il malware utilizzerà quindi i suoi privilegi di amministratore per mostrare una falsa overlay che richiede le informazioni della carta di credito dell’utente una volta aperta l’applicazione Google Play Store. Dato che BankBot prende il controllo dell’applicazione SMS predefinita, potrebbe essere in grado di superare l’autenticazione a due fattori leggendo i messaggi di testo ricevuti dall’utente e registrando le informazioni inviate dalle banche e da altre istituzioni finanziarie che cercano di verificare i propri clienti.
Anche se il malware è già radicato nello smartphone, la scelta di altre forme di autenticazione a due fattori, oltre ai messaggi di testo come Google Authenticator, dovrebbe ridurre le possibilità di accesso alle informazioni sensibili degli utenti da parte degli hacker. Inoltre, perr contrastarlo, basta ignorare le richieste e disinstallare l’applicazione sospetta. Infine, è consigliabile attenersi agli store ufficiali come Google Play Store e controllare le valutazioni, le recensioni e la popolarità di un’applicazione prima di installarla.
