I ricercatori di ESET hanno analizzato un’app che è diventata automaticamente malware Android estremamente pericoloso in grado di eseguire una serie di azioni nefaste, in particolare spazzando via il conto bancario della vittima o il portafoglio di criptovaluta e rilevando i loro account di posta elettronica o social media. Chiamato “ID DEFENSOR”, il trojan bancario era disponibile su Google Play al momento dell’analisi. L’app è dotata di funzionalità standard per il furto di informazioni.
Come funziona questo malware Android
Secondo quanto riportato da We Live Security, il malware Android è eccezionalmente insidioso in quanto dopo l’installazione richiede una sola azione da parte della vittima per liberare completamente la funzionalità dannosa dell’app. I suoi creatori sono stati furbi, in quanto hanno ridotto al minimo la superficie dannosa dell’app rimuovendo tutte le funzionalità potenzialmente dannose tranne una, vale a dire abuso del servizio di accessibilità.
Il servizio di accessibilità è noto da tempo come il tallone d’Achille del sistema operativo Android. Le soluzioni di sicurezza sono in grado di rilevarlo in innumerevoli combinazioni con altre autorizzazioni e funzioni sospette o funzionalità dannose, ma di fronte a nessuna funzionalità o autorizzazione aggiuntiva, tutte non sono riuscite a innescare alcun allarme sull’ID DEFENSOR. Lo conferma anche Bufale.
Il nome dello sviluppatore utilizzato, GAS Brasile, suggerisce i criminali dietro l’app mirati agli utenti brasiliani. Oltre a includere il nome del paese, il nome dell’app probabilmente intende implicare una relazione con il pacchetto antifrode denominato GAS Tecnologia. Tale software di sicurezza viene comunemente installato su computer in Brasile, poiché diverse banche richiedono che acceda al proprio banking online. Tuttavia, esiste anche una versione inglese dell’app ID DEFENSOR oltre a quella portoghese, e quell’app non ha restrizioni geografiche né linguistiche.
La descrizione in portoghese promette una maggiore protezione per le applicazioni dell’utente, inclusa la crittografia end-to-end. In modo del tutto ingannevole, l’app è stata elencata nella sezione Istruzione. Il fatto che il trojan possa rubare le credenziali della vittima e anche controllare i suoi messaggi SMS, significa che gli operatori di DEFENSOR ID attraverso questo malware Android, possano bypassare l’autenticazione a due fattori. Ciò apre la porta, ad esempio, al controllo completo del conto bancario della vittima.