Sei applicazioni anti-virus fasulle sono state rimosse dal Google Play app store perché invece di proteggere gli utenti dai cyber criminali, sono state effettivamente utilizzate per fornire malware per rubare password, dettagli bancari e altre informazioni personali dagli utenti Android.
Le app malware sono state dettagliate dai ricercatori di Check Point, che affermano il download dal marketplace ufficiale di Google da oltre 15.000 utenti che stavano cercando di proteggere i loro dispositivi e che invece sono stati infettati dal malware Sharkbot Android.
Sharkbot è progettato per rubare nomi utente e password, il che avviene attirando le vittime a inserire le loro credenziali in finestre sovrapposte che rimandano le informazioni agli aggressori, che possono utilizzarle per ottenere l’accesso a e-mail, social media, conti bancari online e altro ancora.
Le sei app dannose trovate dai ricercatori miravano ad attirare gli utenti Android alla ricerca di antivirus, pulitori e app di sicurezza.
È possibile che alle vittime siano stati inviati link di phishing che li hanno indirizzati alle pagine di download delle app infestate da Sharkbot. Le app sono state in grado di bypassare le protezioni del Google Play store perché il comportamento dannoso nelle app non è stato attivato fino a quando non sono state scaricate da un utente e l’app ha comunicato di nuovo ai server gestiti dagli attaccanti.
“Pensiamo che siano stati in grado di farlo perché tutte le azioni dannose sono state attivate dal server C&C, in modo che l’app potesse rimanere nello stato “OFF” durante un periodo di prova in Google Play e girare “ON” quando arrivano ai dispositivi degli utenti“, Alexander Chailytko cyber security, research and innovation manager di Check Point Software ha detto a ZDNet.
Secondo l’analisi del malware, Sharkbot non infetta tutti coloro che lo scaricano ed utilizza una funzione di geofencing per identificare e ignorare gli utenti di Cina, India, Romania, Russia, Ucraina o Bielorussia. Nel frattempo, la maggior parte delle vittime che hanno scaricato Sharkbot sembrano essere nel Regno Unito e in Italia.
Dopo aver identificato le app, Check Point ha rivelato i risultati a Google, che ha rimosso le sei app dal Google Play Store. Mentre le app infette da Sharkbot sono state rimosse dal marketplace ufficiale di Google, rimangono attivamente disponibili su siti di terze parti, quindi gli utenti potrebbero ancora essere ingannati a scaricarle.
Consigli:
Chiunque sospetti di aver scaricato un’app dannosa dovrebbe immediatamente disinstallarla, scaricare un programma antivirus legittimo per scansionare il proprio dispositivo, e cambiare le password degli account che potrebbero essere stati rubati. Se c’è qualche incertezza su cosa scaricare o se un’app è legittima, guardare le recensioni degli utenti può aiutare a fornire un quadro più chiaro, perché se l’app non è legittima, le recensioni spesso lo dicono.
