Ancora una volta una nuova forma di occultamento porta alla distribuzione di malware per il mondo mobile, ed in particolare per Android. La cosa più drammatica è che questo avviene attraverso lo store ufficiale, o meglio sotto il suo naso. A beneficiare di questa nuova strategia è ora il famigerato trojan bancario per Android già visto nel 2021, TeaBot, anche noto come Anatsa. 

Si tratta di un pericoloso malware bancario in grado di intercettare messaggi SMS e credenziali di accesso da utenti inconsapevoli (anche codici 2FA “rubato” dallo schermo del dispositivo), di propagarsi in rete (RAT) tramite lo streaming live dello schermo dei dispositivi (attivato a richiesta, quindi con la ignara “complicità” dell’utente). 

L’evoluzione della minaccia ha scelto come forma di distribuzione le cosiddette “applicazioni dropper” (applicazioni che non contengono il malware, ma il modo per portarlo nel dispositivo) attraverso il Google Play Store ufficiale, con un fortissimo aumento nell’ultimo periodo che ha elevato a 400 il numero delle applicazioni contaminate, tutte di natura bancaria, portafoglio di criptovaluta, assicurazioni e affine, tutto al fine di rendersi utili agli usi e necessità delle vittime designate. 

Infatti, tutto quanto è coerente con il profilo delle vittime può occultare questa minaccia, come è stato ad esempio per “QR Code Reader – Scanner App” (ha distribuito 17 varianti di TeaBot con più di 100000 download), “QR Scanner 2021”, “PDF Document Scanner” e “CryptoTracker”, oppure come l’ultimo caso scoperto, quella “QR Code & Barcode – Scanner” già scaricata più di 10000 volte che, con la classica struttura da dropper, attraverso una finta procedura di aggiornamento richiesta subito dopo la sua installazione attraverso un popup, incastra l’utente vittima facendogli scaricare il codice del malware. Quindi è evidente che il comportamento anomalo dell’utente è il migliore alleato degli agenti di minaccia: contrariamente alla normale prassi di aggiornamento attraverso il Google Play Store ufficiale, questa applicazione chiede di scaricare e installare una seconda applicazione. Quando mai si è visto? Questo metodo consente all’applicazione di aggirare così la censura applicata da Google sul suo store e realizzare la distribuzione del malware. 

Per questi dropper le metodologie di ricerca e protezione messe in campo da Google per proteggere i suoi utenti frequentatori dello store raggiungono il loro limite: le applicazioni dropper non sono immediatamente visibili come dannose e potrebbero invero essere considerate applicazioni addirittura interessanti ed innovative (in superficie). 

Per il momento una soluzione per la difesa concreta da questa metodologie di infezione non esiste: occorre solo una vigilanza attiva da parte dell’utente finale che deve evitare di autorizzare comportamenti non comuni alle applicazioni che ha scelto di installare. 

Tweet