App Dropper, in altre parole applicazioni che restano dormienti nello smartphone per attivarsi a sorpresa. Inizialmente sembrano funzionare normalmente, ma co gli aggiornamenti possono installare trojan bancari pericolosi per l’home banking.

hacker — La app dropper diffuse negli store sono il metodo preferito dai cyber criminali. – Androiditaly.com

Uno degli obiettivi prediletti dei cyber criminali sono le applicazioni per il mobile banking. E se da un lato i controlli per la sicurezza aumentano, dall’altra continuano a variare e aggiornarsi le tecniche per sfuggire alle verifiche.

Così nonostante gli screening sugli store continuano a diffondersi le cosiddette app dropper. Vengono così definite le applicazioni che un volta scaricate rimangono in un primo momento dormienti, senza provocare alcun danno. Si attivano in un secondo momento tramite degli aggiornamenti e procedono ad installare pericolosi malware.

Già di recente Google ha provveduto ad eliminare diverse applicazioni da Play Store poiché rubavano i dati relativi alla posizione degli utenti. Ha potuto individuarle però solo dopo l’avviso di alcuni ricercatori.

Le app dropper a loro volta riescono facilmente a passae i controlli di Google Play Protect. Alla fine è l’utente stesso a innescare l’installazione del trojan bancario quando l’app richiede di scaricare l’aggiornamento. Il download da effettuare però spesso non indica la fonte. Questo primo segnale non è da sottovalutare qualora si abbia il dubbio. Meglio disinstallare subito prima di procedere e verificare con una ricerca.

App Dropper recenti

attacco cyber — Chi compie attacchi ai dati bancari continua ad evolvere le proprie strategie. – Androiditaly.com

I trojan bancari sono in continua evoluzione: due di ultima generazione sono stati scaricati in massa di recente con conseguente furto di dati. Il primo, Xenomorph, era nascosto nel codice Fast Cleaner. Il malware ha infettato più di 50.000 dispositivi rubando le credenziali bancarie.

La particolarità di Xenomorph era la capacità di riprodurre schermate di accesso false molto simili a quelle originali per ben 56 istituti bancari. Le app per Inbank copiate erano relative a istituzioni disseminate fra Portogallo, Spagna e Italia. Questo trojan era anche in grado di intercettare gli SMS per l’autenticazione a due fattori.

Ha fatto parlare di sé anche il trojan celato all’interno di due antivirus, Antivirus Super Cleaner e Alpha Antivirus Cleane. Le due app contenevano SharkBot, un malware in grado di mettere in moto trasferimenti di denaro con il sistema ATS, evitando quindi le verifiche multi fattore. SharkBot inoltre elude facilmente il rilevamento grazie alla crittografia e il controllo anti emulatore. Persino l’icona della app che usa per celarsi scompare dalla schermata una volta attivato il trojan.