ESET: 3 false app bancarie Android che sottraggono i dati delle carte di credito

ESET: 3 false app bancarie Android che sottraggono i dati delle carte di credito

ESET ha individuato ben tre false app bancarie su Google Play che sottraggono i dati delle carte di credito e che pubblicano i dati, in chiaro, tramite un server esposto.

Le tre applicazioni, nello store ufficiale Google Play, dichiarano di aumentare il plafond delle carte di credito degli utenti e cercano così di ottenere i dettagli delle carte e le credenziali di accesso all’Internet banking. Ma la cosa peggiore è appunto che i dati rubati alle vittime vengono diffusi online.

Le tre app legittime interessate sono: iMobile by ICICI Bank, RBL MoBANK, HDFC Bank MobileBanking (New) – caricate su Google Play tra giugno e luglio 2018 e, dopo la segnalazione di ESET, immediatamente rimosse, anche se, in questo periodo di tempo, centinaia di vittime sono però state colpite.

Come funzionano queste app?

Tutte e tre le app seguono la stessa procedura: al momento dell’esecuzione viene visualizzato un primo modulo che richiede i dati della carta di credito ed un secondo form che richiede le credenziali di accesso personali all’Internet banking. È interessante notare che, anche se tutti i campi sono contrassegnati come “richiesti” (*), entrambi i moduli possono essere inviati vuoti senza restituire un messaggio di errore – un chiaro indicatore di qualcosa di sospetto. Facendo clic su entrambi i form, compilandoli o meno, gli utenti vengono indirizzati alla terza e ultima schermata, che ringrazia gli utenti per il loro interesse e li informa che un “Responsabile del servizio clienti” li contatterà a breve. Inutile dire che a questo punto nessuno contatterà le vittime e l’app non offrirà ulteriori funzionalità.

Nel frattempo, i dati inseriti nei moduli fasulli vengono inviati in chiaro al server del cyber criminale, che è accessibile a chiunque ne conosca l’indirizzo, senza richiedere alcuna autenticazione. Ciò aumenta esponenzialmente il possibile danno per le vittime, dal momento che i loro dati sensibili non sono solo a disposizione del criminale, ma sono potenzialmente disponibili per chiunque vi acceda.

Come proteggersi? 

In generale installare seguire le seguenti indicazioni:

  • Fidarsi soltanto delle app di mobile banking collegate al sito Web ufficiale della propria banca

  • Non inserire mai le proprie informazioni riservate nei moduli online se non si è sicuri della loro sicurezza e legittimità

  • Quando si scaricano app da Google Play, prestare molta attenzione al numero di download, alle valutazioni e alle recensioni delle app

  • Mantenere aggiornato il dispositivo Android e utilizzare una soluzione di sicurezza mobile affidabile

Fonte ESet

Commenti Facebook

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.