Un gruppo estremamente attivo di criminali informatici sta attualmente saturando il Play Store con applicazioni pericolose. Questo articolo illustra le App coinvolte e fornisce consigli su come proteggersi efficacemente.
Un totale di 34 App pericolose è stato scoperto dalla società di sicurezza cibernetica Trend Micro. Queste applicazioni, individuate con molta probabilità come prodotto dello stesso gruppo criminale, sono state diffuse attraverso due diverse campagne. Interessante notare che la prima campagna ha sfruttato ampiamente le piattaforme social quali Twitter, Telegram e TikTok per incrementare la diffusione delle app infette.
Le prime quattro App individuate da Trend Micro hanno condotto alla scoperta delle altre 30 e contengono il virus CherryBlos. Questo malware è stato progettato per rubare le credenziali d’accesso ai wallet di criptovalute degli utenti, i luoghi online in cui conservano le loro risorse digitali come bitcoin ed ethereum.
Questo virus è focalizzato su un target ben definito ed è stato veicolato attraverso una campagna di disinformazione mirata agli investitori di criptovalute. Ad esempio, il gruppo Telegram chiamato Ukraine ROBOT è stato associato all’App Robot 999, ufficialmente presentata come strumento per investire in queste valute, ma che in realtà nascondeva il virus CherryBlos, il quale si limitava a spiare i dispositivi delle vittime alla ricerca di dati d’accesso ai loro portafogli online.
Il medesimo virus è stato rinvenuto in altre tre app: GPTalk, Happy Miner e SynthNet. GPTalk era legata a un account TikTok, mentre SynthNet era associata a un canale Telegram e a un account Twitter. Inoltre, SynthNet veniva pubblicizzata anche attraverso alcuni video su YouTube. Tutto ciò fa parte di una campagna chiaramente pianificata per attrarre utenti non esperti di criptovalute con la promessa di guadagni facili.
Tre decine di App contengono il malware FakeTrade. Le quattro app precedentemente descritte venivano scaricate da siti di phishing o da store alternativi, ma non dal Play Store di Google. Un’analisi approfondita del loro codice ha permesso ai ricercatori di Trend Micro di rilevare che lo stesso gruppo criminale è attivo anche sul Google Play Store con oltre 30 App infette dal virus FakeTrade.
In breve, queste App promettono guadagni facili agli utenti in cambio di compiti semplici come la visualizzazione di pubblicità o la compilazione di sondaggi. Tuttavia, una volta giunto il momento di riscuotere il credito, entra in gioco il malware che dirotta i fondi verso gli account dei criminali.
Tutte queste App sono strutturate in modo simile, basate su uno schema comune e differenziate solo per l’interfaccia grafica. Alcune sono addirittura identiche, sebbene localizzate in lingue diverse (mantenendo lo stesso nome). Qui di seguito l’elenco delle 33 App infette da FakeTrade:
AMA
BBShop
Canyon
Compass
Compose
Domo
Envoy
Fair
Firetoss
Gobuy
GoDo
Goshop
Huge
Koofire
Leefire
Moshop
Moshop
NtBuy
Onefire
Papaya
PuddingA
Saya
SengreSmartz
Tango
Timeshop
Tinuiti
Upwork
WebFx
Youtech
Riguardo alle contromisure da adottare, bisogna fare una distinzione tra le due campagne di attacco agli smartphone Android, entrambe attribuibili agli stessi autori ma con modalità diverse. La prima campagna non comporta il download dal Play Store, mentre la seconda sì. Conseguentemente, le prime quattro app andrebbero individuate e rimosse manualmente, mentre le altre 30 dovrebbero essere eliminate automaticamente dal Play Store di Google grazie a Google Play Protect. In entrambi i casi, è raccomandato controllare l’elenco delle app installate sul proprio dispositivo e rimuoverle una per una, se presenti. Se l’eliminazione non è possibile, è consigliabile installare un affidabile antivirus per Android onella peggiore delle ipotesi, salvare i dati e formattare il telefono.
