Attenzione alle app che si spacciano per antivirus: potrebbe, invece, nascondere al loro interno dei malware. E in particolare dei malware bancari, come nelle sei applicazioni malevole individuate da Check Point niente meno che sul Google Play Store. Nonostante il marketplace ufficiale di Android dia maggiori garanzie di sicurezza rispetto alle piattaforme non controllate, anche qui notoriamente si nascondo mele marce, cioè applicazioni che riescono a sfuggire ai controlli automatizzati perché gli sviluppatori usano la quantità minima di codice software dannoso.
Le sei app incriminate, spacciate per antivirus, si chiamano Atom Clean-Booster, Super Cleaner, Alpha Antivirus Cleaner, Powerful Cleaner e due di esse hanno lo stesso nome, Center Security Antivirus. Ma il loro scopo non è certo quello di tenere lontane le minacce dagli smartphone delle persone, anzi: una volta installate, sguinzagliano il malware bancario noto come Sharkbot, un programma che ruba credenziali e informazioni bancarie.
Sharkbot attira le vittime con notifiche push, spingendo gli utenti a compilare dei moduli inserendo, tra le altre cose, le proprie credenziali di online banking o altri dati di pagamento. Una volta inseriti, questi dati vengono inviati verso un server di controllo.
Avvertita del problema, Google ha rimosso dal Play Store queste sei applicazioni. Ma il danno comunque era stato fatto: Check Point ha rilevato più di mille indirizzi IP unici di dispositivi infetti, e il Paese più colpito è proprio l’Italia, con ben il 62% del totale conteggiato. Il secondo bersaglio è il Regno Unito, con una quota del 36%, e solo il restante 2% è disperso su altre destinazioni. Ma in ogni caso i download sono stati molti di più, perché le statistiche di Google Play Store indicano che queste sono state scaricate più di diecimila volte.
“Questo malware ruba credenziali e informazioni bancarie ed è chiaramente molto pericoloso”, ha commentato Alexander Chailytko, cyber security, research & innovation manager di Check Point. “Guardando le installazioni, possiamo supporre che gli autori abbiano fatto centro con il proprio metodo di diffusione del malware. Gli autori hanno scelto strategicamente di posizionare le applicazioni su Google Play, luogo che ha la fiducia degli utenti. Inoltre è significativo che questi autori mandino alle vittime messaggi push contenenti malware, fatto che porta a un’adozione diffusa”.