Avvisi Android: nuove app di Banking App per rubare le password

Il trojan bancario Anubis ha generato titoli lo scorso anno, facendo autostop sui dispositivi Android attraverso download infetti dal Google Play Store. Il malware chiedeva il permesso di utilizzare i servizi di accessibilità del dispositivo, bloccandone il percorso per “rubare le credenziali di accesso alle app bancarie, e-wallet e carte di pagamento“. Anubis è stato abilitato da un “dropper” con una “comprovata capacità di infiltrarsi su Google Play e di impiantare downloader maligni sotto le spoglie di app dall’aspetto benigno”.

BianLian è stato il “dropper” che ha spinto Anubis sui dispositivi, “mascherato da semplici applicazioni sempre più richieste, come calcolatrici di valuta / tariffe, dispositivi di pulizia dei dispositivi e persino app di discount”. Threat Fabric ha riferito che “per garantire che il malware rimanga sul dispositivo delle vittime il più a lungo possibile, le applicazioni di BianLian erano effettivamente funzionanti e avevano anche una buona valutazione nel Google Play Store“.

Il nome BianLian, hanno spiegato i ricercatori di Threat Fabric, “è un riferimento all’arte teatrale cinese di cambiare da una faccia all’altra quasi istantaneamente”. E quei ricercatori hanno predetto che “mentre stava ancora facendo cadere Anubi, BianLian stava per diventare un vero e proprio trojan bancario“.

Non sorprende quindi che BianLian sia tornato a fare esattamente questo. I ricercatori di Fortinet hanno riferito che il nuovo e “migliorato” BianLian si è trasformato in un sofisticato malware che porta nuove tecniche all’attacco delle app bancarie, registrando gli schermi per rubare le credenziali, bloccando gli utenti a nascondere le proprie attività, “rendendo i dispositivi inutilizzabili”.

Una volta che BianLian ha ricevuto il permesso di utilizzare i servizi di accessibilità di un dispositivo, l’attacco può iniziare. Le finestre finanziarie possono essere registrate utilizzando un nuovo modulo screencast quando gli utenti digitano nomi utente e password, dettagli della carta e numeri di conto. Un canale di comunicazione occultato può far tornare tutto questo ai criminali informatici dietro l’attacco. E l’eredità di “dropper” di BianLian significa che il malware è un esperto che si nasconde dal rilevamento, aggirando le salvaguardie su Google Play per raggiungere la sua base di utenti.

Dario Durando di Fortinet ha avvertito che, sebbene BianLian “sembra ancora essere in fase di sviluppo attivo”, la pericolosa funzionalità aggiornata “la mette alla pari con gli altri grandi player nello spazio del malware bancario“.

Il malware per il mobile banking è in aumento, con Kaspersky che segnala che alcuni tipi di attacchi del genere sono triplicati nel 2018 nel 2017. Con questo in mente, con il livello di sofisticazione portato alla luce qui e con il chiaro avvertimento che il livello di sofisticazione solo peggio, rende triste la lettura.

E così tutti gli occhi si rivolgono a Google e alla sua battaglia per controllare Google Play, assicurando che le app dannose non possano superare le sue salvaguardie. Ma, come riferito il mese scorso, con migliaia di app di questo tipo disponibili per il download, il gigante della tecnologia ha ancora tanto lavoro da fare.