L’applicazione, compromessa dal malware Trojan.Android/Spy.Banker.HU, ha la capacità di sottrarre le credenziali della banca e bloccare lo schermo
Roma, 24 Febbraio 2017 – Gli utenti Android sono stati l’obiettivo di un nuovo trojan bancario che ha anche la capacità di bloccare lo schermo e che si presenta su Google Play come un’app di previsioni meteo. Rilevato da ESET, il più grande produttore di software per la sicurezza digitale dell'Unione europea, come Trojan.Android/Spy.Banker.HU, il malware compromette l’applicazione altrimenti legittima per le previsioni meteo Good Weather.
L’app pericolosa è riuscita a superare i meccanismi di sicurezza di Google e a comparire nello store il 4 Febbraio, per poi essere segnalata da ESET due giorni dopo e conseguentemente rimossa. Durante questo suo breve periodo di attività, l’app è riuscita a insidiare più di 5000 utenti. Oltre alle funzioni relative alle previsioni meteo derivate dall’applicazione originale, il malware è in grado di bloccare e sbloccare da remoto i dispositivi infettati e di intercettare i messaggi di testo.
Come funziona?
Quando l’ignaro utente installa l’app, la sua icona meteo scompare. Successivamente viene mostrata una falsa schermata di sistema che richiede i diritti di amministratore sul dispositivo al fine di installare un fantomatico “Aggiornamento di sistema”. Fornendo questi diritti, la vittima permette al malware di Cambiare la password per bloccare e sbloccare lo schermo.
Da questo momento, grazie anche al permesso di intercettare i messaggi di testo ottenuto durante l’installazione, il malware è pronto per iniziare le sue attività malevole.
Fino a questo punto gli utenti sono assolutamente ignari di tutto non avendo ricevuto alcun allarme dal dispositivo e anzi potrebbero essere addirittura soddisfatti del nuovo widget aggiunto alla loro schermata home. Tuttavia, in maniera nascosta, il malware si è già messo all’opera condividendo le informazioni del dispositivo con il suo server di comando e controllo (C&C). A seconda del comando che questo restituirà, l’app sarà in grado di intercettare i messaggi di testo ricevuti e inoltrarli al suo server, bloccare o sbloccare da remoto il dispositivo impostando una password di blocco schermo scelta dai criminali e sottrarre le credenziali di accesso al conto bancario.
Per far ciò, il trojan mostra una falsa schermata di autenticazione ogni volta che l’utente avvia una delle app bancarie interessate e invia al criminale le informazioni immesse. Grazie ai permessi di intercettare i messaggi di testo delle vittime, il malware sarà in grado di aggirare la protezione offerta dai sistemi di autenticazione a due fattori basati su SMS. Per quanto riguarda il blocco del dispositivo, i ricercatori di ESET sospettano che questa funzione entri in gioco quando i criminali iniziano a svuotare il conto bancario, così da mantenere nascosta all’utente questa attività illecita. Una volta che il dispositivo viene bloccato, le vittime sono costrette ad attendere finché il malware non riceve un comando di sblocco dal suo server.
Il mio dispositivo è stato infettato? Come posso pulirlo?
Se avete scaricato un’app chiamata Good Weather, verificate la presenza della sua icona tra le vostre applicazioni. Non riuscite a trovare alcuna icona e l’app funziona solo come widget? Cercate in Impostazioni -> Gestione applicazioni. Se trovate l’app con l’icona blu, avete scaricato l’imitazione pericolosa di Good Weather.
Per pulire il vostro dispositivo, potete utilizzare una soluzione di sicurezza mobile affidabile, o potete rimuovere il malware manualmente. Per disinstallare manualmente il trojan, prima di tutto è necessario disattivargli i diritti di amministratore sul dispositivo da Impostazioni -> Sicurezza -> Aggiornamento del sistema. Fatto ciò sarà possibile disinstallare l’app pericolosa da Impostazioni -> Gestione applicazioni -> Good Weather.
Come proteggersi
Come già accennato, la versione corrotta dell’app Good Weather è stata prontamente rimossa dallo store, quindi la versione di Good Weather attualmente presente può essere scaricata in tutta sicurezza. Tuttavia, visto che versioni false e pericolose di app legittime continuano a essere immesse sul Play Store, è bene attenersi ad alcuni principi di base per evitare spiacevoli incontri.
Pur non essendo infallibile, Google Play utilizza degli avanzati sistemi di sicurezza per impedire la diffusione di malware. Anche se non è questo il caso, è sempre meglio scegliere lo store ufficiale di Google Play quando è possibile, piuttosto che app store alternativi o altre fonti sconosciute.
Quando si scarica dal Play store è inoltre necessario verificare i permessi richiesti dall’app prima di installarla o aggiornarla. Invece di fornire automaticamente i permessi a un’app, considerare cosa questo comporta per l’app e per il vostro dispositivo. Se qualcosa non vi è chiaro, leggete ciò che è stato scritto dagli altri utenti e in base a questo valutate il download.
Dopo l'esecuzione di qualsiasi cosa, continuare a porre estrema attenzione a quali autorizzazioni e diritti vengono richiesti. Un’app che non funziona senza autorizzazioni avanzate, che non sono strettamente legate alle sue attività, potrebbe essere un’app che non dovrebbe essere presente nel vostro telefono.
Ultimo, ma non meno importante, se tutte queste indicazioni non fossero sufficienti, una soluzione di sicurezza mobile affidabile proteggerà il vostro dispositivo dalle minacce attive.
L’app pericolosa è riuscita a superare i meccanismi di sicurezza di Google e a comparire nello store il 4 Febbraio, per poi essere segnalata da ESET due giorni dopo e conseguentemente rimossa. Durante questo suo breve periodo di attività, l’app è riuscita a insidiare più di 5000 utenti. Oltre alle funzioni relative alle previsioni meteo derivate dall’applicazione originale, il malware è in grado di bloccare e sbloccare da remoto i dispositivi infettati e di intercettare i messaggi di testo.
Come funziona?
Quando l’ignaro utente installa l’app, la sua icona meteo scompare. Successivamente viene mostrata una falsa schermata di sistema che richiede i diritti di amministratore sul dispositivo al fine di installare un fantomatico “Aggiornamento di sistema”. Fornendo questi diritti, la vittima permette al malware di Cambiare la password per bloccare e sbloccare lo schermo.
Da questo momento, grazie anche al permesso di intercettare i messaggi di testo ottenuto durante l’installazione, il malware è pronto per iniziare le sue attività malevole.
Fino a questo punto gli utenti sono assolutamente ignari di tutto non avendo ricevuto alcun allarme dal dispositivo e anzi potrebbero essere addirittura soddisfatti del nuovo widget aggiunto alla loro schermata home. Tuttavia, in maniera nascosta, il malware si è già messo all’opera condividendo le informazioni del dispositivo con il suo server di comando e controllo (C&C). A seconda del comando che questo restituirà, l’app sarà in grado di intercettare i messaggi di testo ricevuti e inoltrarli al suo server, bloccare o sbloccare da remoto il dispositivo impostando una password di blocco schermo scelta dai criminali e sottrarre le credenziali di accesso al conto bancario.
Per far ciò, il trojan mostra una falsa schermata di autenticazione ogni volta che l’utente avvia una delle app bancarie interessate e invia al criminale le informazioni immesse. Grazie ai permessi di intercettare i messaggi di testo delle vittime, il malware sarà in grado di aggirare la protezione offerta dai sistemi di autenticazione a due fattori basati su SMS. Per quanto riguarda il blocco del dispositivo, i ricercatori di ESET sospettano che questa funzione entri in gioco quando i criminali iniziano a svuotare il conto bancario, così da mantenere nascosta all’utente questa attività illecita. Una volta che il dispositivo viene bloccato, le vittime sono costrette ad attendere finché il malware non riceve un comando di sblocco dal suo server.
Il mio dispositivo è stato infettato? Come posso pulirlo?
Se avete scaricato un’app chiamata Good Weather, verificate la presenza della sua icona tra le vostre applicazioni. Non riuscite a trovare alcuna icona e l’app funziona solo come widget? Cercate in Impostazioni -> Gestione applicazioni. Se trovate l’app con l’icona blu, avete scaricato l’imitazione pericolosa di Good Weather.
Per pulire il vostro dispositivo, potete utilizzare una soluzione di sicurezza mobile affidabile, o potete rimuovere il malware manualmente. Per disinstallare manualmente il trojan, prima di tutto è necessario disattivargli i diritti di amministratore sul dispositivo da Impostazioni -> Sicurezza -> Aggiornamento del sistema. Fatto ciò sarà possibile disinstallare l’app pericolosa da Impostazioni -> Gestione applicazioni -> Good Weather.
Come proteggersi
Come già accennato, la versione corrotta dell’app Good Weather è stata prontamente rimossa dallo store, quindi la versione di Good Weather attualmente presente può essere scaricata in tutta sicurezza. Tuttavia, visto che versioni false e pericolose di app legittime continuano a essere immesse sul Play Store, è bene attenersi ad alcuni principi di base per evitare spiacevoli incontri.
Pur non essendo infallibile, Google Play utilizza degli avanzati sistemi di sicurezza per impedire la diffusione di malware. Anche se non è questo il caso, è sempre meglio scegliere lo store ufficiale di Google Play quando è possibile, piuttosto che app store alternativi o altre fonti sconosciute.
Quando si scarica dal Play store è inoltre necessario verificare i permessi richiesti dall’app prima di installarla o aggiornarla. Invece di fornire automaticamente i permessi a un’app, considerare cosa questo comporta per l’app e per il vostro dispositivo. Se qualcosa non vi è chiaro, leggete ciò che è stato scritto dagli altri utenti e in base a questo valutate il download.
Dopo l'esecuzione di qualsiasi cosa, continuare a porre estrema attenzione a quali autorizzazioni e diritti vengono richiesti. Un’app che non funziona senza autorizzazioni avanzate, che non sono strettamente legate alle sue attività, potrebbe essere un’app che non dovrebbe essere presente nel vostro telefono.
Ultimo, ma non meno importante, se tutte queste indicazioni non fossero sufficienti, una soluzione di sicurezza mobile affidabile proteggerà il vostro dispositivo dalle minacce attive.
Per maggiori informazioni su questo argomento è possibile visitare la pagina del blog al seguente link: https://blog.eset.it/2017/02/nuovo-trojan-bancario-su-google-play-che-si-presenta-come-unapp-meteo/
Anche quest’anno ESET parteciperà al Mobile World Congress di Barcellona, presentando le sue ultime soluzioni dedicate alle piattaforme mobile, sia per gli utenti privati che per il mondo business. Presso lo stand di ESET (B05, Pad. 5) sarà possibile approfondire i risultati della ricerca condotta da ESET sulle minacce per le piattaforme mobile, focalizzati in particolare sui ransomware che bloccano lo schermo e da quelli che codificano i file sui dispositivi Android.
Per maggiori informazioni sulla presenza di ESET al Mobile World Congress visitare sito web dedicato.
ESET, fondata nel 1992, è uno dei fornitori globali di software per la sicurezza informatica di pubbliche amministrazioni, aziende e utenti privati. Il software ESET NOD32 Antivirus fornisce una protezione in tempo reale da virus, worm, spyware e altri pericoli, conosciuti e non, offrendo il più elevato livello di protezione disponibile alla massima velocità e con il minimo impiego di risorse di sistema. NOD32 è l’antivirus che ha vinto il maggior numero di certificazioni Virus Bulletin 100% e dal 1998 non ha mai mancato l’individuazione di un virus ItW (in fase di diffusione). ESET NOD32 Antivirus, ESET Smart Security e ESET Cybersecurity per Mac rappresentano le soluzioni per la sicurezza informatica più raccomandate a livello mondiale, avendo ottenuto la fiducia di oltre 100 milioni di utenti. L’azienda, presente in 180 Paesi, ha il suo quartier generale a Bratislava e uffici e centri di ricerca a San Diego, Buenos Aires, Singapore, Praga, Cracovia, Montreal, Mosca. Per quattro anni di seguito ESET è stata inclusa fra le aziende Technology Fast 500 EMEA da Deloitte e per dieci anni consecutivi fra le aziende Technology Fast 50 Central Europe. Per maggiori info: www.eset.it
FUTURE TIME è il distributore esclusivo dei prodotti ESET per l’Italia, nonché suo partner tecnologico. Fondata a Roma nel 2001, Future Time nasce dalla sinergia di due preesistenti aziende attive da anni nel campo della sicurezza informatica. Future Time, con Paolo Monti e Luca Sambucci, fa parte della WildList Organization International, ente no profit a livello mondiale composto da esperti e aziende antivirus che hanno il compito di riportare mensilmente tipologia e numero dei virus diffusi in ogni Paese. Per maggiori info: www.eset.it
Per maggiori informazioni sulla presenza di ESET al Mobile World Congress visitare sito web dedicato.
ESET, fondata nel 1992, è uno dei fornitori globali di software per la sicurezza informatica di pubbliche amministrazioni, aziende e utenti privati. Il software ESET NOD32 Antivirus fornisce una protezione in tempo reale da virus, worm, spyware e altri pericoli, conosciuti e non, offrendo il più elevato livello di protezione disponibile alla massima velocità e con il minimo impiego di risorse di sistema. NOD32 è l’antivirus che ha vinto il maggior numero di certificazioni Virus Bulletin 100% e dal 1998 non ha mai mancato l’individuazione di un virus ItW (in fase di diffusione). ESET NOD32 Antivirus, ESET Smart Security e ESET Cybersecurity per Mac rappresentano le soluzioni per la sicurezza informatica più raccomandate a livello mondiale, avendo ottenuto la fiducia di oltre 100 milioni di utenti. L’azienda, presente in 180 Paesi, ha il suo quartier generale a Bratislava e uffici e centri di ricerca a San Diego, Buenos Aires, Singapore, Praga, Cracovia, Montreal, Mosca. Per quattro anni di seguito ESET è stata inclusa fra le aziende Technology Fast 500 EMEA da Deloitte e per dieci anni consecutivi fra le aziende Technology Fast 50 Central Europe. Per maggiori info: www.eset.it
FUTURE TIME è il distributore esclusivo dei prodotti ESET per l’Italia, nonché suo partner tecnologico. Fondata a Roma nel 2001, Future Time nasce dalla sinergia di due preesistenti aziende attive da anni nel campo della sicurezza informatica. Future Time, con Paolo Monti e Luca Sambucci, fa parte della WildList Organization International, ente no profit a livello mondiale composto da esperti e aziende antivirus che hanno il compito di riportare mensilmente tipologia e numero dei virus diffusi in ogni Paese. Per maggiori info: www.eset.it
Nessun commento:
Posta un commento