Home » Nuovo virus Android: ecco quali app disinstallare subito, le usiamo tutti

Nuovo virus Android: ecco quali app disinstallare subito, le usiamo tutti

2 anni ago MarioAurelio Segreto
Il Trojan Sharkbot in Android agisce silenziosamente – finanzamoney.it (Foto di neo tam da Pixabay)

Alcuni malware-dropper per Android presenti sul Google play store sono stati individuati da poco.

Il loro funzionamento è semplice: si installano come aggiornamenti, e poi introducono un Trojan sullo smartphone.

Una volta introdotti, i Trojan potranno rubare le credenziali di accesso a social e app, ma anche le credenziali d’accesso a conti bancari, permettendo a chi riceve i dati di fare acquisti a nome altrui.

Cosa sono i malware-dropper

Il dropper è un programma che consente l’installazione di un malware su un dispositivo. Viene utilizzato sia per la semplice installazione del software malevolo, sia per l’apertura di una backdoor attraverso la quale effettuare il data breach.
I malware-droppers sono difficili da contrastare perché non contengono codice classificabile come dannoso, quindi superano facilmente i controlli di sicurezza quando sono inviati allo store per essere distribuiti.

Come accorgersi di aver scaricato un malware-dropper

L’utente medio non riesce a intercettare la pericolosità dell’app, al pari del sistema di controllo del Play Store.
Alcuni ricercatori di Threat Fabric hanno però scoperto un nuovo tipo di dropper, prontamente segnalato al distributore di App di Google.

La scoperta del malware

Threat Fabric ha individuato una campagna di droppers a inizio ottobre. Questi droppers installano il Trojan Sharkbot, il malware bancario che abbiamo descritto già in questo articolo.
Il citato malware, installato attraverso dropper, ruba le credenziali d’accesso a conti in banca e app di home-banking. Inoltre, il Trojan riesce a rubare le credenziali d’accesso attraverso la tecnologia del keylogging.

Le app in cui si annida il dropper

Le app che potrebbero installare un virus sul vostro sistema sono Codice fiscale 2022 e File Manager Small Lite.
La prima viene adoperata per il calcolo del codice fiscale, la seconda, invece permette di gestire i files sul proprio dispositivo, come il Finder di Mac oppure esplora risorse in Windows.
In seguito all’installazione di queste due app, un messaggio finale richiede l’installazione di un aggiornamento, che invece di apportare modifiche benevole al programma installerà Sharkbot.
La richiesta di aggiornamento avverrà con una schermata del tutto simile a quella del google play.

Codice Fiscale 2022 installerà una versione di Sharkbot ottimizzata per rubare le credenziali d’accesso a conti bancari. Essa fa uso di overlay di accesso falsi, e attraverso keylogging e furto di cookies intercetta SMS e codici di autenticazione a due fattori.

Lo Sharkbot di File Manager Small, invece, si rivolge agli utenti di più paesi, cioè quelli di Spagna, Austria, Polonia, Regno Unito, Australia e Stati Uniti.

Altri malware rilasciati di recente

Threat Fabric ha di recente intercettato anche un’altra campagna di malware-dropper. Il Trojan installato durante quest’altra campagna è Vultur, un malware che funziona in maniera simile a Sharkbot.
Le app che installano Vultur sono Better Authentication, My Finances Tracker e Recover Audio, images and videos.
Secondo Threat Fabric la distribuzione di malware attraverso dropper mascherati da aggiornamento, è molto diffusa.

Attenzione a queste app, potrebbero contenere un virus – finanzamoney.it (Foto di Gerd Altmann da Pixabay)

Tuttavia si può riconoscere questa tecnica dalla richiesta di un’azione all’utente, che se ne intercetta la sua pericolosità, può facilmente disinnescare l’azione del dropper, evitando l’installazione del Trojan.