Malware in evoluzione: con i dropper il pericolo è dietro l'angolo sul Play Store

Anche i malware evolvono, e lo fanno per eludere i sistemi di sicurezza più recenti e aggiornati che Google mette a difesa di Android, del Play Store e delle applicazioni in esso contenute. Il negozio virtuale è da sempre terreno fertile per questo tipo di pericolo, e nonostante gli sforzi condotti dagli esperti di Mountain View anche Android 13 è già caduto sotto gli attacchi dei malintenzionati.

La tecnica più utilizzata in questi ultimi tempi è quella dei malware dropper - contagocce - che sfrutta cioè app apparentemente innocue in quanto di per sé non contengono codice malevolo - e dunque possono passare senza problemi i controlli di Google - ma minano la sicurezza degli smartphone e degli ignari utenti rimandando l'introduzione del malware in un secondo momento, tramite un aggiornamento (falso) da completare attraverso una pagina fasulla del Play Store con cui avviene il collegamento ai servizi di accessibilità.

E, come spesso accade, ad essere prese di mira sono le app bancarie e quelle appartenenti alla categoria finanza. Threat Fabric conferma il sempre più frequente sfruttamento di questa tipologia di tecnica identificando diverse app presenti sul Play Store che ne fanno uso. SharkBoat ad esempio è un trojan bancario capace di rubare dati personali ed SMS (questi ultimi specie per rintracciare i codici 2FA) e di prendere il controllo dello smartphone da remoto. Una delle app che lo nasconde è Codice Fiscale 2022, scaricata in Italia migliaia di volte senza che gli utenti si rendessero conto della sua pericolosità. Serve per il calcolo delle tasse, ma in realtà il suo obiettivo è tutt'altro.

Una volta scaricata e aperta, l'app richiede il download di un aggiornamento da un finto Play Store, con cui avviene l'installazione del malware all'interno del nostro smartphone. Facile cascarsi, perché la pagina appare del tutto uguale a quella originale. Anche l'app File Manager si comporta allo stesso modo e prende di mira banche in Italia, UK, Germania, Spagna, Polonia, Austria, Australia e Stati Uniti.

Non c'è solo SharkBoat come dropper: Vultur, ad esempio, è un trojan bancario tramite cui i malintenzionati riescono ad avere accesso allo streaming dello schermo da remoto e a registrare clic e gesture, rubando così le password compilate dall'utente. In questo caso la richiesta di aggiornamento dell'app (apparentemente innocua) avviene tramite un falso avviso di Google Play: una volta data l'autorizzazione, il malware viene scaricato. Le app individuate sono Recover Audio, Images & Videos, Zetter Authentication e My Finances Tracker: i dropper sono crittografati AES per nascondere le stringhe.

La "buona notizia" è che perché il malware venga installato - e questo vale sia per SharkBoat che per Vultur - si rende necessario un intervento manuale dell'utente. Quella cattiva, però, è che i falsi siti web che imitano il Play Store e gli avvisi sono talmente simili a quelli originali che è facile cadere nella trappola. Il consiglio è sempre quello di controllare l'URL con estrema cura prima di procedere e di non autorizzare gli aggiornamenti da fonti sconosciute.