Un nuovo trojan per Android è stato individuato su Google Play: distribuito di nascosto insieme ad applicazioni apparentemente lecite, il malware identificato come Android.FakeApp.174 reindirizza il browser Chrome degli utenti verso siti Web dannosi abbonandoli a loro insaputa alle notifiche pubblicitarie.
Indice degli argomenti
Nuovo trojan Android: tutti i dettagli
Sui dispositivi mobile, lo ricordiamo, le cosiddette notifiche Web push consentono ai siti di inviare una notifica agli utenti, anche se il sito Web non è aperto nel browser, se la finestra di navigazione viene chiusa e anche dopo che il trojan è stato completamente rimosso dal sistema.
I criminal hacker hanno quindi trovato il modo di sfruttare questa altrimenti utile funzione per diffondere pubblicità e notifiche fraudolente che provengono da siti Web hackerati o sotto il loro diretto controllo.
A quel che si sa finora, sono molteplici le app lecite infette dal malware e già eliminate dallo store di Google subito dopo le prime segnalazioni effettuate negli scorsi giorni dai ricercatori di sicurezza di Doctor Web. Un tempismo che ha consentito di limitare a poco più di mille le installazioni del malware.
Ciò non esclude, però, che i criminal hacker possano pubblicare altre app simili in qualsiasi momento sul Play Store oppure adottare metodi di attacco più aggressivi come il reindirizzamento delle vittime verso payload maligni, il lancio di attacchi di phishing contro i clienti delle banche o la diffusione di notizie false.
Un esempio di notifiche spam che potrebbero apparire sullo schermo del nostro smartphone in seguito all’infezione del nuovo trojan per Android.
Come avviene un attacco col nuovo trojan per Android
Di fronte ad una notifica che appare dentro la schermata di Google Chrome, la potenziale vittima potrebbe essere tratta in inganno e scambiarla per un messaggio informativo lecito. In realtà, seguendo il link indicato, si ritroverà un sito di phishing che gli chiederà di indicare il nome, le credenziali, l’indirizzo e-mail, il numero di carta di credito e altre informazioni riservate.
In particolare, quando le app malevoli vengono eseguite per la prima volta, il nuovo trojan per Android carica un sito indicato nelle sue impostazioni utilizzando il browser Web Google Chrome. Tale sito, ovviamente, è un semplice specchietto per le allodole che richiede all’ignaro visitatore di consentire la visualizzazione di notifiche sullo schermo dello smartphone con il pretesto di verificare che l’utente non sia un bot.
Accettando di abilitare le notifiche Web push, la vittima del nuovo trojan per Android viene automaticamente abbonato ad alcuni servizi a pagamento e inizierà ad essere tartassato dallo spam di decine di notifiche inviate da Chrome e apparentemente provenienti da social media, siti di incontri, agenzie stampa e altri noti servizi online.
Accettando la visualizzazione di una di queste notifiche, i truffatori dirottano le vittime verso vari tipi di siti di truffa come pubblicità di casinò online, negozi di scommesse, altre applicazioni disponibili su Google Play, sconti e coupon, falsi sondaggi online, aggregatori di link da latri siti compromessi e altre risorse online che variano a seconda del paese di residenza dell’utente.
Come difendersi da questa minaccia
Le analisi effettuate dai ricercatori di Doctor Web lasciano presupporre che i criminal hacker creatori del trojan Android.FakeApp.174 faranno un uso più attivo di questo metodo per promuovere servizi discutibili.
È opportuno, quindi, prestare sempre molta attenzione quando si visitano siti Web sconosciuti o sospetti indicati nelle notifiche dello smartphone oppure in post sociale, email o messaggi di chat.
Ovviamente, non bisogna mai accettare le proposte di abbonamento alle notifiche proposte se non siamo più che certi dell’attendibilità del sito Web.
Qualora dovessimo essere rimasti già vittima del nuoto trojan per Android e indotti ad abbonarci a questo tipo di notifiche spam, possiamo liberarcene seguendo questi semplici consigli:
- spostiamoci nelle Impostazioni di Google Chrome premendo l’icona con i tre puntini in alto a destra;
- nella schermata che appare spostiamoci nella sezione Avanzate e tocchiamo la voce Impostazioni sito;
- dall’elenco visualizzato a schermo individuiamo e tocchiamo la voce Notifiche;
- nell’elenco dei siti Web con notifiche, troviamo l’indirizzo del sito Web malevolo, tocchiamolo e premiamo il pulsante Cancella e reimposta.
