Il virus bancario Cerberus è stato scoperto dal team di Mobile Threat Labs di Avast in questi giorni
L’app presente sullo store di Google è un trojan, infatti quella che sembra una normale app per la conversione di valuta risulta essere un malware capace di accedere alle informazioni bancarie degli ignari utenti.
Il virus bancario a cui hanno dato il nome Cerberus (nome preso dalla mitologia greca, rappresentava uno dei mostri a guardia degli inferi, era raffigurato come un cane mastino gigantesco dotato di tre teste), sullo store di Google si chiamava “Calculadore de Moneda”.
Per guadagnare la fiducia dell’utente e mantenere il suo stato di installazione sul dispositivo l’app genuina inizialmente non conteneva il codice maligno e funzionava come un normalissimo convertitore, motivo per cui è sfuggita al controllo del Play Protect di Google.
Google Play Protect: come funziona
Google Play Protect è attivo per impostazione predefinita e controlla le app quando vengono installate sul dispositivo Android. Se rileva un’app potenzialmente dannosa avvisa l’utente con una notifica che a conferma disinstalla o disattiva l’app (fino a quando non viene disinstallata).
Oltre a verificare eventuali malware o app potenzialmente dannose, Google Play Protect segnala la presenza di app che nascondono informazioni o le presentano in modo fuorviante e che non si attengono alle “Norme relative al software indesiderato”.
Come ha operato il virus bancario
Il virus bancario Cerberos era destinato agli utenti Android in Spagna, infatti l’app legittima era inizialmente un convertitore di valuta spagnolo. Gli utenti hanno iniziato a scaricare l’app nel marzo di quest’anno ed è rimasta sullo store per un paio di settimane durante le quali ha superato i 10.000 download.
A metà giugno la versione più recente del convertitore di valuta includeva un “dropper code”, cioè un meccanismo di innesco a tempo (“conta gocce”). Giorno 1 luglio, l’app “Calculadora de Moneta” è diventata un dropper cioè un programma creato per installare un malware ovvero l’APK aggiuntivo dannoso del virus bancario.
In questa fase il virus bancario attende che l’utente acceda al proprio conto bancario e si attiva creando un layover, una piccola sosta, sulla schermata di login della banca che gli permette silenziosamente di rubare le credenziali inserite dall’ignaro utente e leggere l’SMS inoltrato dalla banca (nel caso di autenticazione a due fattori), bypassando così ogni forma di sicurezza adottata.
Le informazioni sottratte venivano inoltrate ad un server C&C, cioè un server basato su protocollo di comando e controllo tipico delle botnet, che permette ai criminali di riceve e inoltra comandi ai dispositivi infetti. In questo modo i criminali informatici prendono possesso di tutto quello che serve per accedere al conto bancario dell’utente.
Tuttavia il server C&C è scomparso qualche tempo dopo e il convertitore su Google Play Store non conteneva più il malware trojan.
L’app è stata comunque segnalata a Google che ha provveduto a rimuoverla dallo store.
Come proteggersi dal virus bancario e dai trojan
Le raccomandazioni per proteggersi da questo tipo di minacce sono le seguenti:
- Verificare che l’app bancaria abbia sempre la stessa interfaccia grafica, se si notano diversità è meglio informarsi con il servizio clienti della banca.
- Utilizzare sempre l’autenticazione a due fattori.
- Affidarsi soltanto a store ufficiali.
- Diffidare di quelle app che chiedono privilegi non necessari alla funzione per cui sono state create.
- Utilizzare sempre e comunque un buon antivirus,
Per ulteriori informazioni sulle altre minacce a cui è soggetto Android vi segnalo il seguente link.
Lascia un commento