Il Google Play Store non è un posto così sicuro come molti ancora credono. A malincuore dobbiamo dire che sempre più di frequente applicazioni infette riescono ad aggirare i sistemi di sicurezza Play Protect. Perciò è necessario difendersi in modo tassativo da queste minacce.
L’unico modo per farlo è optando per un sistema antivirus che scansioni automaticamente qualsiasi app venga scaricata e installata sul nostro dispositivo Android. Tra i migliori c’è AVG Ultimate, oggi in offerta a un prezzo interessante. Si tratta di una suite di difesa potente e ricca di funzionalità tra cui anche una protezione contro attacchi phishing.
Tornando all’argomento scottante di questi giorni, sul Google Play Store sono state individuate due app infette che distribuivano un trojan bancario. Chi ha scaricato queste due applicazioni è stato violato dal malware Xenomorph. I ricercatori di Zscaler ThreatLabz Himanshu Sharma e Viral Gandhi, protagonisti della scoperta e autori della ricerca, hanno spiegato:
Xenomorph è un trojan che ruba le credenziali dalle applicazioni bancarie sui dispositivi degli utenti. È anche in grado di intercettare i messaggi SMS e le notifiche degli utenti, consentendogli di rubare password monouso e richieste di autenticazione a più fattori.
Google Play Store: perché Xenomorph è pericoloso
Vien da sé il fatto che Xenomorph sia molto pericoloso. Ma perché lo è? Come agisce dopo che una di queste 2 app viene scaricata dal Google Play Store e installata sul nostro dispositivo Android? Lo hanno spiegato i ricercatori di questa scoperta:
Quando l’app viene aperta per la prima volta, raggiunge un server Firebase per ottenere l’URL del payload del malware di stage/banking. Quindi scarica i campioni di trojan bancari Xenomorph dannosi da Github. Questo malware bancario in seguito raggiunge i server di comando e controllo (C2) decodificati tramite il contenuto della pagina di Telegram o da una routine di codice statico per richiedere ulteriori comandi, estendendo l’infezione.
L’applicazione principale per il download di malware (Google Play Store) ottiene la sua configurazione da Firebase per il suo database.
Sono quindi due le app incriminate che all’apparenza risultano essere innocue, ma che poi innescano il processo per infettare con il malware Xenomorph qualunque dispositivo le abbia scaricate e installate. Nel caso, per qualsiasi ragione, le abbiate installate eliminatele subito e procedete con il reset di fabbrica. Le 2 app dannose sono le seguenti:
- Todo: Day manager (com.todo.daymanager)
- 経費キーパー (com.setprice.expenses)
Un modo per evitare questi problemi è affidarsi sempre ad applicazioni i cui sviluppatori sono conosciuti. Meglio sempre verificare anche le recensioni. A volte alcuni utenti potrebbero scrivere in merito a comportamenti strani notati dopo l’installazionie. Infine, ormai è necessario proteggersi con un sistema antivirus specifico come AVG Ultimate.
