Secondo i rapporti pubblicati da ThreatFabric, le app Android su Google Play Store che hanno rubato i dettagli bancari hanno avuto più di 300.000 download da parte di utenti ignari. Queste app apparentemente innocue mascherate da scanner QR, portafogli di criptovaluta e scanner PDF e rubano dati finanziari sensibili. Dettagli utente come password, codici di autenticazione a due fattori, sequenze di tasti registrate dagli utenti e molto altro sono stati rubati da queste app che rientrano principalmente in quattro famiglie di malware, ovvero Anatsa, Alien, Hydra ed Ermac. Google ha cercato di combattere questo problema con l’introduzione di una serie di restrizioni volte a frenare la distribuzione di tali app. Ciò, a sua volta, ha portato allo sviluppo di metodi ingegnosi per aggirare le restrizioni di sicurezza di Google Play Store da parte delle menti dietro questi malware.
Come spiegato da ThreatFabric, i contenuti malware non vengono introdotti direttamente tramite Google Play Store, quindi evitando il rilevamento. Gli utenti sono indotti a scaricare aggiornamenti aggiuntivi da fonti di terze parti da queste app. I criminali informatici sono arrivati al punto di attivare manualmente il download di tali aggiornamenti dopo aver tracciato la posizione dei dispositivi con queste app scaricate.
Alcune delle app dannose identificate dagli esperti di sicurezza informatica includono QR Scanner, QR Scanner 2021, Two Factor Authenticator, Protection Guard, QR CreatorScanner, Master Scanner Live, CryptoTracker, PDF Document Scanner, PDF Document Scanner Free e Gym and Fitness Trainer.
Delle quattro famiglie predominanti di malware, con oltre 100.000 download, Antasa è in cima alla lista. Il gran numero di download e le buone recensioni, nonché la discreta funzionalità delle app stesse, hanno dato loro un’apparenza di legittimità. Dopo essere state scaricate dal Google Play Store, tuttavia, queste app hanno spinto gli utenti a scaricare ulteriori contenuti di terze parti per poter essere utilizzate. Si è rivelato essere un malware che, al momento dell’installazione, è stato in grado di rubare dettagli finanziari sensibili e acquisire tutte le attività sullo schermo del dispositivo.
In un post sul blog di Google, l’azienda ha dettagliato le misure che ha adottato per contrastare tale app dannose, inclusa la limitazione della quantità di accesso degli sviluppatori alle informazioni sensibili. Tuttavia, Google Play Protect non fornisce un livello di sicurezza sufficientemente competente, soprattutto se confrontato con i principali programmi anti-malware sul mercato, secondo un test di luglio dell’istituto di sicurezza IT tedesco AV-Test. Sono state testate circa 20.000 app dannose e ne sono state rilevate solo circa due terzi.
