I ricercatori di ESET hanno individuato una nuova serie di false app bancarie nello store ufficiale Google Play che, dichiarando di aumentare il plafond delle carte di credito degli utenti, cercano di ottenere i dettagli delle carte e le credenziali di accesso all’Internet banking. Cosa ancora peggiore, i dati rubati alle vittime sono stati diffusi online, in chiaro, tramite un server esposto.
Le tre app interessate, iMobile by ICICI Bank, RBL MoBANK, HDFC Bank MobileBanking (New) – sono state caricare su Google Play tra giugno e luglio 2018 e, a seguito della segnalazione di ESET, sono state immediatamente rimosse dallo store ufficiale di Google; purtroppo però centinaia di vittime erano già state infettate.
Le app compromesse sono state caricate sfruttando tre diversi nomi di sviluppatori e ognuna di esse tentava di spacciarsi per una differente banca; tutte e tre le app possono essere comunque ricondotte a un unico cyber criminale.
Tutte e tre le app seguono la stessa procedura (qui i dettagli): al momento dell’esecuzione viene visualizzato un primo modulo che richiede i dati della carta di credito e un secondo form che richiede le credenziali di accesso personali all’Internet banking.
È interessante notare che, anche se tutti i campi sono contrassegnati come “richiesti”, entrambi i moduli possono essere inviati vuoti senza restituire un messaggio di errore – un chiaro indicatore di qualcosa di sospetto. Facendo clic su entrambi i form, compilandoli o meno, gli utenti vengono indirizzati alla terza e ultima schermata, che ringrazia gli utenti per il loro interesse e li informa che un “Responsabile del servizio clienti” li contatterà a breve. Inutile dire che a questo punto nessuno contatterà le vittime e l’app non offrirà ulteriori funzionalità.
Nel frattempo, i dati inseriti nei moduli fasulli vengono inviati in chiaro al server del cyber criminale, che è accessibile a chiunque ne conosca l’indirizzo, senza richiedere alcuna autenticazione. Ciò aumenta esponenzialmente il possibile danno per le vittime, dal momento che i loro dati sensibili non sono solo a disposizione del criminale, ma sono potenzialmente disponibili per chiunque vi acceda.
Recentemente ricercatori hanno segnalato una falsa app MyEtherWallet che diffondeva pubblicamente le informazioni rubate, esponendo le chiavi private dei wallet delle vittime. Queste scoperte evidenziano la necessità di porre estrema cautela quando si scaricano app legate alle proprie finanze – che si tratti di denaro nel senso tradizionale del termine, o di criptovalute.