La società di sicurezza informatica Bitdefender sottolinea che una delle cose che distingue il Google Play Store dall'App Store è anche un problema che gli utenti Android riscontrano spesso. Anche se sia Apple che Google raccolgono fino al 30% delle entrate in-app attraverso le rispettive piattaforme di pagamento, gli utenti iOS sono costretti a fare i loro acquisti solo attraverso Apple in quanto Apple impedisce agli sviluppatori di offrire una piattaforma di pagamento alternativa. 

Epic lo ha fatto, violando le regole di Apple. Questo è il motivo per cui il famosissimo videogame di Epic, Fortnite, è stato eliminato dall'App Store. 

A differenza dei clienti dell’App Store, gli utenti Android non sono tecnicamente costretti a fare acquisti in-app attraverso Google. Questo perché il Play Store non è un giardino murato come l'App Store e consente agli utenti Android di caricare le applicazioni da store esterni.  Tuttavia, proprio per questo motivo, ultimamente i criminali stanno ingannando gli utenti Android con app apparentemente note e legittime, ma che in realtà sono piene di malware. Bitdefender ha recentemente trovato cinque nuove applicazioni Android dannose che contengono il trojan Teabot e che imitano vere applicazioni Android, una di queste è stata installata addirittura più di 50 milioni di volte. 

L'azienda di sicurezza informatica ha scoperto che le applicazioni Teabot infette utilizzano false applicazioni Ad Blocker per distribuire malware. Le app false chiedono il permesso di essere visualizzate su altre app, mostrare notifiche e installare app esternamente al Play Store. Una volta che queste applicazioni vengono installate, le loro icone diventano nascoste. 

Il meccanismo di attacco di Teabot viene definito Overlay Attack, ovvero attacco da sovrapposizione. Tramite questo meccanismo Teabot è in grado di bloccare un’applicazione legittima allo start e sostituirsi ad essa ingannando l’utente a fornirgli credenziali di accesso riservate destinate all’applicazione legittima.  

Mentre Teabot proviene da un’app che finge di essere un Ad Blocker, Flubot viene diffuso attraverso SMS spam e, secondo Bitdefender, "Ruba dati bancari, contatti, SMS e altri tipi di dati privati da dispositivi infetti mentre sfoggia un arsenale di altri comandi disponibili, tra cui la possibilità di inviare SMS con contenuti forniti dal CNC." 

Flubot imita applicazioni di spedizione come DHL Express Mobile, con oltre 1 milione di installazioni dal Google Play Store, Fedex, con oltre 5 milioni di installazioni e Correos con più di 500.000 download. 

Ma in realtà c’è un modo per proteggersi da questo malware. 

Bitdefender suggerisce che non bisogna mai installare applicazioni utilizzando un  sideload: in altre parole, bisogna restare all’interno dell’App Store e del Google Play Store quando si installano applicazioni per i dispositivi iOS e Android. Inoltre, non si dovrebbero mai aprire i link nei messaggi e "essere sempre consapevoli delle autorizzazioni delle applicazioni Android'." 

Le applicazioni fasulle che contengono il payload Teabot sono progettate per apparire come legittime, anche se hanno piccole modifiche nella descrizione, nome e icona. Ad esempio, la versione reale dell'app di streaming televisivo Pluto TV ha una descrizione in cui si legge: “Pluto TV-it’s free TV." La versione falsa e infetta dell'app, non ha lo spazio tra “Pluto” e “TV”. 

Quasi il 93% delle applicazioni false che distribuiscono Teabot, provengono da un’app chiamata Mediaplayer, che cerca di imitare uno dei titoli più popolari nel Google Play Store, VLC. Quest'ultimo è un "player multimediale multi-piattaforma libero e open source" con oltre 100 milioni di installazioni. 

Il 79,5% dei malware Teabot è stato scoperto in Spagna, l'11,18% in Italia e il 4,6% viene distribuito nei Paesi Bassi. 

Tweet