Una nuova maxi operazione di sicurezza ha portato Google a rimuovere 77 applicazioni dal Play Store, scaricate complessivamente oltre 19 milioni di volte. Le app, dietro l’apparenza di normali strumenti come lettori di documenti, giochi o editor di immagini, nascondevano diversi malware tra cui Joker, Harly e il trojan bancario Anatsa. A scoprire la campagna malevola sono stati gli analisti di Zscaler ThreatLabs, che hanno documentato una diffusione capillare e sofisticata di questo genere di truffe.
Il trojan Anatsa, conosciuto anche come Tea Bot, si conferma infatti tra i più pericolosi e negli ultimi mesi ha esteso il proprio raggio d’azione passando da 650 a 831 applicazioni bancarie e di criptovalute prese di mira. Il malware sfrutta app apparentemente legittime che scaricano il codice dannoso solo dopo l’installazione, così da eludere i controlli automatici di Google. Una volta attivo, Anatsa usa i permessi di accessibilità di Android per autoattribuirsi privilegi e lanciare pagine di phishing a valere direttamente sulle app finanziarie, sottraendo credenziali e dati sensibili.
Accanto a questo trojan, i ricercatori hanno individuato anche Joker e la sua variante più evoluta, che porta il nome di “Harly”.
Joker è in grado di leggere e inviare sms, rubare contatti, catturare schermate, effettuare chiamate e perfino attivare abbonamenti a pagamento senza che l’utente si accorga di nulla. Harly, poi, ancora più difficile da rilevare, si nasconde in giochi, wallpaper o applicazioni di utilità, rinviando l’esecuzione del codice dannoso a un secondo momento per mostrarsi innocuo all’utenza e superare tutti i controlli.
La maggioranza delle app analizzate conteneva semplici adware, che generano profitti tramite pubblicità invasive, ma un numero non trascurabile nascondeva dunque funzionalità molto più gravi, come il furto dei dati bancari, la localizzazione e l’intercettazione dei messaggi.
Le categorie più colpite sono risultate quelle dedicate a strumenti e personalizzazione (modifica delle foto, ad esempio), seguite da intrattenimento, gioco e fotografia.
Dopo la segnalazione di Zscaler, Google ha eliminato le 77 app infette, ma resta l’allerta per gli utenti Android. È fondamentale mantenere attivo il servizio Play Protect, che rileva e rimuove automaticamente applicazioni sospette, e scaricare app solo da sviluppatori affidabili, leggendo con attenzione le recensioni e concedendo solo i permessi strettamente necessari. Chi sospetta di essere stato colpito da Anatsa deve invece contattare subito la propria banca, per verificare eventuali operazioni fraudolente e proteggere le credenziali di accesso al mobile banking.
Ioan Arghir
