Un trojan bancario in grado di attivarsi solo quando l’utente muove lo smartphone. È questo l’ultimo ingegnoso malware scovato dai ricercatori di Trend Micro, nascosto in due applicazioni Android all’apparenza legittime: un convertitore di valute (Currency Converter) e un software per l’ottimizzazione dei consumi energetici. Quest’ultima, nota sul Google Play Store come Batterysavermobi, è valutata con 4,5 stelle su 5 ed è stata scaricata oltre cinquemila volte. Gli esperti ritengono però che le recensioni siano fraudolente. Grazie anche alla segnalazione di Trend Micro, però, le due app non sono più presenti sul negozio online di Big G. Come spiegato in un blog post dai ricercatori, gli applicativi erano capaci di installare un payload maligno sugli smartphone, riconducibile al malware bancario Anubis.

Sia il codice sia il collegamento al server command and control, infatti, hanno fatto subito pensare a un campione di trojan modellato su Anubis. Secondo la società di cybersecurity, l’Italia sarebbe stato il quarto Paese più colpito da Batterysavermobi, con sei vittime, anticipata da Stati Uniti (10), Austria (56) e Giappone (336). Lo stratagemma ideato dagli hacker è sicuramente molto intelligente, in quanto il software maligno sfrutta i rilevamenti dei sensori integrati nei dispositivi per attivarsi.

“Se un utente si sposta, generalmente il device genera un certo quantitativo di informazioni di movimento”, scrivono gli esperti. “Lo sviluppatore parte dal presupposto che la sandbox utilizzata per riconoscere il malware è un emulatore senza sensori di movimento e, quindi, non creerà quel tipo di dato. Se questo fosse il caso, lo sviluppatore potrebbe determinare quando l’app viene eseguita in un ambiente sandbox semplicemente controllando quel genere di informazioni”.

Quando il codice decide di attivarsi, l’applicazione prova a convincere l’utente a scaricare e installare un Apk, contenente il payload, tramite un finto avviso di sistema. Una volta preso il controllo del dispositivo grazie anche alle autorizzazioni di Android (che le persone deve ovviamente riconoscere all’applicazione), Anubis è in grado, per esempio, di intercettare tramite keylogger i caratteri digitati sulla tastiera in fase di login ai servizi online.

Ma non solo, il programma può anche effettuare screenshot per ottenere le credenziali di accesso, copiare l’elenco dei contatti salvati in rubrica, registrare audio, monitorare la posizione, inviare messaggi di testo, effettuare chiamate e manomettere la microSd eventualmente inserita nel telefono.