I ricercatori di Threat Fabric hanno identificato diversi dropper spacciati come app Android su Google Play Store. Tali app contando ben 130.000 installazioni avrebbero distribuito i trojan bancari Vultur e SharkBot, capaci di rubare dati finanziari ed eseguire frodi sui dispositivi colpiti. Ecco i nomi delle app incriminate:
- File Manager Small, Lite
- Codice Fiscale 2022
- My Finances Tracker
- RecoverFiles
- Zetter Authenticator
App dropper, un trend in crescita
Gli attori delle minacce migliorano continuamente gli strumenti di attacco per eludere i controlli di Google e aumentare l’efficacia degli attacchi e l’impiego in aumento delle app dropper è per l’appunto uno di questi strumenti che consente il superamento delle restrizioni ad esempio caricando lateralmente il payload dannoso utilizzando il browser web.
“La distribuzione [di malware] tramite dropper negli store ufficiali rimane uno dei modi più efficienti con cui gli attori delle minacce possono raggiungere un pubblico ampio e ignaro. Sebbene vengano utilizzati anche altri metodi di distribuzione a seconda degli obiettivi, delle risorse e della motivazione dei criminali informatici, i dropper rimangono una delle migliori opzioni per il rapporto qualità-prezzo, in competizione con lo SMiShing“. È il commento di ThreatFabric.
Tra gli obiettivi anche l’Italia
Secondo quanto riportato sul rapporto, il dropper camuffato da “Codice Fiscale 2022” (con oltre 10.000 installazioni) sarebbe stato configurato per distribuire il payload di Sharkbot (versione 2.29 – 2.32) per rubare dati bancari solo agli utenti italiani, mentre l’app “File Manager Small, Lite” avrebbe il Regno Unito oltre all’Italia come target. Altri obiettivi individuati coinvolgerebbero anche banche in Polonia, Austria, Stati Uniti e Australia.
Per quanto riguarda il payload Vultur il cui obiettivo sono in particolare i crypto wallet sono state osservate di recente delle piccole campagne in Germania, Francia e Italia.
Come avviene l’infezione Sharkbot
La nuova iterazione del dropper di Sharkbot riesce, secondo i ricercatori, ad evitare di richiedere l’autorizzazione “REQUEST_INSTALL_PACKAGES” aprendo una falsa pagina del Play Store che imita l’elenco delle app, mascherando il malware come aggiornamento (Le policy di Google hanno limitato l’uso di tale autorizzazione per prevenirne l’abuso di installazioni arbitrarie).
In pratica il dropper avvierebbe la procedura di download e installazione via browser, evitando così la richiesta di autorizzazioni al Play Store che potrebbe allertare le policy di sicurezza di Google.
I ricercatori di Threat Fabric avrebbero però rilevato anche dei dropper per Sharkbot spacciati da applicazioni di tipo file manager, una categoria alla quale, secondo la nuova politica di Google, invece sarebbe consentito avere l’autorizzazione “REQUEST_INSTALL_PACKAGES” come funzionalità di base.
Come avviene l’infezione Vultur
La distribuzione di Vultur avverrebbe invece per il tramite di app dropper che richiedono agli utenti di installare un aggiornamento dopo aver aperto l’app e aver concesso l’autorizzazione per l’installazione da fonti non verificate.
Vultur è un trojan bancario Android specializzato nel rubare di informazioni personali dai dispositivi infetti, in grado di creare sessioni remote VNC per eseguire azioni sul dispositivo della vittima oltre che registrare l’interazione dell’utente inclusi gesti e click.
I consigli degli esperti
Le applicazioni dropper continuano a insidiarsi nello store ufficiale nonostante le modifiche apportate alla politica e ai meccanismi di sicurezza. La distribuzione di malware tramite dropper sullo store Google Play rimane ancora il modo migliore per raggiungere un vasto bacino di vittime per la maggior parte degli attori malevoli.
Poiché tale modalità di distribuzione dei Trojan bancari Android è molto subdola (le vittime potrebbero rimanere ignare per molto tempo) gli esperti consigliano che sarebbe auspicabile che le organizzazioni finanziarie intraprendessero qualsiasi azione proattiva a tutela dei loro clienti e avviassero prontamente le procedure di segnalazione qualora rilevassero un coinvolgimento delle proprie app in attività sospette.
