Malware: sembrano app conosciute, non lo sono proprio. Allarme Italia

Uno dei motivi che portano molti utenti a prediligere un iPhone anziché uno smartphone by Android è dato dello Store. Su App Store gli utenti iOS sono costretti a effettuare i loro acquisti in-app tramite Apple, poiché il colosso di Cupertino impedisce agli sviluppatori di offrire una piattaforma di pagamento alternativa. A differenza di quanto succede su Google Play Store, dove stanno imperversando due malware.

Gli utenti preferiscono pagare di più negli acquisti in-app perché si sentono più sicuri ed evitano, per quanto possibile, l’introduzione di virus nei propri device. Ecco spiegato il motivo dell’esistenza (anche in Italia) di due nuovi malware, presenti soltanto su Android.

Malware, come si attivano Teabot e Flubot. Spagna invasa, in crescita i casi in Italia

La società di sicurezza informatica Bitdefender, di recente, ha scoperto due codici maligni, mai visti prima d’ora, presenti (non su iOS) nel sistema operativo del “robottino verde” che si nascondono dietro l’icona di applicazioni più blasonate.

LEGGI ANCHE >>> Tinder, piccante non fa rima con stressante: via gli ex dai contatti

Si chiamano TeaBot e Flubot, due nuovi programmi malware trojan bancario, che inducono gli utenti Android a installare quelle che pensano siano applicazioni legittime di marchi famosi, ma si rivelano infestate da malware. Bitdefender ha recentemente trovato cinque nuove applicazioni Android dannose che contengono il trojan TeaBot e imitano le app Android legittime che sono popolari con almeno un’app che è stata installata oltre 50 milioni di volte.

LEGGI ANCHE >>> Harry Potter, serie tv in arrivo? Tom Felton: “Non mi sorprenderebbe…”

Il malware TeaBot colpisce così: una volta installato con successo nel dispositivo consente ai cybercriminali di ottenere un live stream dello schermo e interagire col dispositivo stesso, sfruttando i servizi di accessibilità di Android, così dirotta le credenziali di accesso e i messaggi SMS per facilitare attività fraudolente contro le banche in Italia, Spagna, Germania, Belgio e Paesi Bassi. Negli ultimi giorni, in particolare, gli sviluppatori di TeaBot hanno aggiunto altre sette false app bank italiane come target dei loro attacchi tra cui grossi nomi come BNL, Intesa San Paolo, BancoPosta, Unicredit e Banco MPS.

Il malware Flubot arriva allo stesso fine, utilizzando però una partenza e sviluppo differente: si “trasmette” tramite SMS e ha la capacità di replicarsi, inviando SMS dal dispositivo infetto. Anche in questo caso raccoglie dati sensibili, prendendo le sembianze di applicazioni più blasonate, come VLC o Kaspersky Antivirus. Anche la CERT-AGID governativa ha rilevato una campagna malware per dispositivi Android che utilizza SMS per veicolare Flu bot 3.9, un malware già diffuso al di fuori dall’Italia, in particolare in Spagna, Germania e Ungheria.

Dalla conseguente analisi effettuata, è stato rivelato il supporto anche per le seguenti lingue: polacco, italiano, ungherese, galiziano, basco, spagnolo, tedesco e catalano. Il malware invece non si attiva sui dispositivi che usano una delle lingue tra uzbeco, inglese (Regno Unito), turco, tagico, russo, rumeno, lingua kirghisa, kazako, georgiano, armeno, bielorusso o azerbaigiano.

L’esclusione dei paesi dell’ex URSS è tipica dei malware di origine russa. Del fatto che Flubot sia russo se ne ha la conferma anche dalla presenza di una stringa derisoria nei confronti di linuxct scritta, appunto, in russo. Il prefisso italiano presente nel codice (qui mostrato dopo la nostra deoffuscazione), fa pensare che questa versione sia stata creata appositamente per l’Italia.

Per ora il malefico duo sta operando principalmente in Spagna, dove sono stati scoperti il 79,5% dei Teabot sono stati scoperti in Spagna, ma l’Italia è salita all’11,18% fanno sapere quelli di Bitdefender. Solo il 4,6% è diffuso nei Paesi Bassi.