I ricercatori di sicurezza informatica affermano che la campagna DawDropper ha consegnato alle vittime quattro tipi di malware trojan dopo aver aggirato le protezioni del Play Store.
Diciassette app dannose progettate per infettare gli utenti di Google Android con malware bancario sono state rimosse dal Play Store.
IL malware la campagna è stata dettagliata dai ricercatori di sicurezza informatica di Trend Micro che l'hanno soprannominata DawDropper e affermano che fornisce quattro tipi di trojan bancario – TeaBot, ottobre, Idra ed Ermac – in quello che viene descritto come un attacco dropper-as-a-service (DaaS), perché il payload viene rilasciato solo dopo che l'app è stata scaricata.
Ciascuno dei quattro tipi di malware è progettato per rubare informazioni sui conti bancari insieme a nomi utente e password. TeaBot è particolarmente potente, utilizzando il keylogging e il furto di codici di autenticazione per ottenere informazioni bancarie e altri dati personali sensibili.
Sicurezza
- 8 abitudini dei lavoratori remoti altamente sicuri
- Come trovare e rimuovere spyware dal telefono
- I migliori servizi VPN: come si confrontano i primi 5?
- Come scoprire se sei coinvolto in una violazione dei dati e cosa fare dopo
Nel frattempo, Octor ha la capacità di ottenere le autorizzazioni primarie dal dispositivo, mantenendolo sveglio per consentire il caricamento dei dati rubati. Utilizza la registrazione dello schermo per rubare le informazioni inserite dall'utente, inclusi indirizzi e-mail, password e PIN. Il malware può anche disattivare lo schermo, la retroilluminazione e disattivare l'audio per nascondere comportamenti dannosi.
VEDERE: Come mantenere più sicuri i tuoi dati bancari e le tue finanze online
La campagna DawDropper può essere fatta risalire alla fine del 2021 e varie applicazioni sono state utilizzate per nascondere la consegna di malware alle vittime. L’elenco completo – dettagliato da Trend Micro – include registratori di chiamate, VPN, applicazioni più pulite, editor di foto, scanner di documenti, giochi e altro ancora. Il numero di volte in cui sono state scaricate le app dannose non è stato dettagliato.
DawDropper ha eluso le protezioni del Play Store utilizzando servizi cloud di terze parti per ottenere il carico utile da un server di comando e controllo (C&C) gestito dagli aggressori. Ciò significa che il codice era pulito, quindi le app erano consentite nello store: è solo dopo che le app dannose sono state scaricate dalle vittime che viene stabilita una connessione per eliminare il payload del malware.
Trend Micro afferma che ciascuna delle 17 app dannose è stata ora rimossa dal Google Play Store.
"I criminali informatici sono costantemente alla ricerca di modi per eludere il rilevamento e infettare il maggior numero possibile di dispositivi", si legge nel post sul blog di Trend Micro.
"Man mano che sempre più trojan bancari vengono resi disponibili tramite DaaS, gli autori malintenzionati avranno a disposizione un modo più semplice ed economico per distribuire malware mascherati da app legittime. Prevediamo che questa tendenza continuerà e che in futuro verranno distribuiti sempre più trojan bancari sui servizi di distribuzione digitale", hanno aggiunto.
Questo è non è la prima volta che app dannose vengono rimosse dal Play Store ed è improbabile che sia l'ultimo, ma ci sono dei passaggi che gli utenti possono adottare per evitare di cadere vittime del malware nascosto negli app store ufficiali.
Questi includono solo il download di applicazioni da sviluppatori ed editori noti ed evitare le app che lo sono pubblicati da sviluppatori che hanno solo un'app, non forniscono molti dettagli su se stessi e sono relativamente nuovo.
Gli utenti dovrebbero anche controllare le recensioni delle app per vedere se altri utenti hanno avuto esperienze negative dopo aver scaricato l'app: ciò potrebbe fornire una forte indicazione che l'app deve essere evitata.
ALTRO SULLA SICUREZZA INFORMATICA
- Sicurezza Android: come questo nuovo malware è diventato una delle principali minacce per gli smartphone
- Questo nuovo malware Android ignora l'autenticazione a più fattori per rubare le tue password
- Questo trojan bancario Android si sta diffondendo copiando le tattiche di un'altra minaccia malware
- Altre quattro app che hanno infettato migliaia di dispositivi Android con malware rimossi dal Google Play Store
- Migliaia di utenti Android hanno scaricato questo malware in grado di rubare password mascherato da antivirus da Google Play