Su Google Play torna BankBot, si scarica un gioco e si perde la carta di credito

MalwareSicurezza
La Cassazione sdogana gli spyware e trojan di Stato

Eset ha individuato la presenza del trojan BankBot ospitato su Jewels Star Classic, un gioco scaricabile proprio da Google Play. Come evitare che vi rubino i dati della carta di credito

L’allarme è stato lanciato da Eset, il vendor software di soluzioni per la sicurezza digitale, che ha individuato la presenza di una nuova variante del trojan BankBot, proprio su Google Play, pubblicato come falsa versione del famosissimo gioco Jewels Star.

BankBot è una vecchia conoscenza, nel corso dell’anno si è evoluto con diverse varianti, non solo fuori da Google Play ma anche dentro lo store di applicazioni di Big G, non individuato dai sistemi Google anche per le ultime evolute variazioni nel codice, con una funzionalità di esecuzione del payload particolarmente evoluta e un sistema di infezione in grado di sfruttare addirittura il Servizio Accessibilità di Android. 

BankBot funziona così. L’utente ignaro scarica proprio dallo store Google Play regolare Jewels Star Classic, quindi una variante creata ad hoc con il nome civetta della nota serie, in questo modo ottiene un gioco che funziona senza problemi, ma con il payload incorporato. Dopo 20 minuti dalla prima esecuzione si innesca il payload che richiede all’utente di abilitare Google Service, solo cliccando su Ok si può chiudere questa schermata.

BankBot
BankBot si nasconde in Jewels Star Classic, non scaricate questo gioco (fare clic sull’immagine per una migliore visualizzazione)

A questo punto è richiesto un nuovo Ok su una descrizione presa tale e quale dai Termini del Servizio originali Google. E così l’utente che fornisce i permessi di accessibilità offre il nulla osta al malware di svolgere qualsiasi attività, tra cui il furto dei dati della carta.

Eset offre anche i consigli per proteggersi. Prima di tutto per controllare la presenza del malware è possibile riscontrare la presenza di un’app chiamata “Google Update” o di “System update” tra gli amministratori attivi del dispositivo e infine la visualizzazione continua dell’avviso “Google Service”. 

Bisogna allora prima disabilitare i diritti amministratore da System Update e quindi rimuovere Google Update. Più difficile invece individuare l’app che infetta. In questo caso abbiamo indicato Jewels Star Classic, ma potrebbe non essere l’unica. 

L’allarme a nostro avviso è strettamente legato al fatto che il gioco in questione è stato “legittimamente” ospitato da Google Play, e quindi considerabile come “sicuro” dalla maggior parte degli utenti. 

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore