INDICE
Xenomorph v3 svuota automaticamente i conti
La società di cybersecurity ThreatFabric ha scoperto all'interno di un’app Android chiamata CoinCalc, una nuova variante del noto malware Xenomorph v3 che utilizza il framework ATS (Automated Transfer Systems).
Questa nuova variante di Xenomorph v3 e molto pericolosa, perché con il framework ATS è in grado di superare tutte le barriere di protezione e trasferire soldi dal tuo conto corrente bancario o postale senza che te ne accorga.
Il problema delle app Android che svuotano il conto è molto comune tra gli utenti di smartphone, spesso si tratta di applicazioni malevoli che di nascosto rubano le informazioni sensibili dell'utente, però in questo caso ci troviamo di fronte ad un malware che va ben oltre, perché tramite l’applicazione bancaria installata nello smartphone, Xenomorph v3 è in grado di:
- richiedere i dettagli del saldo
- disporre il trasferimento del denaro
- fornire le autorizzazioni richieste
tutto a tua insaputa.
Attenzione al falso Google Play Protect
L’app dannosa CoinCalc scoperta da ThreatFabric, sviluppata da Sam Ruston noto anche per altre app come Hurry - Daily Countdown, BuzzKill - Phone Superpowers e Flamingo, richiede agli utenti di installare un falso Google Play Protect, il cavallo di Troia nel quale è nascosto il malware.
Cos’è Google Play Protect
Google Play Protect è una funzionalità di Google per proteggere il Play Store ed è parte integrante del sistema Android, quindi non deve essere installata da fonti esterne.
Il modulo Google Play Protect di Android è una sorta di sentinella che esegue la scansione delle app installate, invia notifiche per invitare a disinstallare app potenzialmente dannose, disattiva o disinstalla automaticamente le app estremamente pericolose.
Xenomorph v3 ruba i dati da circa 400 app bancarie
Sempre secondo il rapporto di ThreatFabric, questo malware può rubare informazioni da circa 400 app bancarie, tra cui anche quelle di noti istituti bancari italiani come si evince da uno stralcio della lista completa:
Le banche stanno gradualmente sostituendo l'autenticazione in due passaggi tramite SMS con l'autenticazione a più fattori, ma anche questo livello di sicurezza non è sempre sicuro, perché l'autenticazione a più fattori spesso prevede l’utilizzo di app di autenticazione installate sullo stesso telefono dell'app bancaria, il che rende più semplice l'esecuzione di transazioni fraudolente tramite malware.
Il malware Xenomorph v3 con ATS riesce a violare i token di autenticazione a più fattori riuscendo quindi ad automatizzare le transazioni senza coinvolgimento umano. Considera che il malware Xenomorph v3 è in grado di leggere anche i codici generati da token come Google Autenticathor.
Suggerimenti per proteggersi dalle app dannose
La nuova variante del malware è stata scoperta per ora nell’app CoinCalc, ma ciò non esclude che possa nascondersi in altre app esistenti o future.
Purtroppo, non esistono soluzioni definitive per proteggersi da questi tipi di minacce, però si possono individuare alcuni segnali per prevenire eventuali infezioni:
- se un’app ti chiede di installare un aggiornamento di Google Play Protect interrompi immediatamente l’installazione e rimuovi subito l’app.
- se un’app richiede autorizzazioni che sembrano inutili o eccessive per lo scopo dell’app stessa, valuta bene se conviene concedere tali autorizzazioni e nel dubbio non installare l’app.
Ricorda che l'istintiva interazione è il più delle volte la porta di ingresso per i malware e che la nostra prudenza è il migliore degli antivirus.
Per saperne di più su come funziona Xenomorph v3 con ATS, approfindisci con il rapporto completo sul sito ThreatFabric
Autore: Pasquale Romano Linkedin