Come noto, le app di mobile banking sono diventate sempre più un obiettivo estremamente interessante per i cyber criminali che per questo continuano ad aggiornare le proprie tecniche per aggirare restrizioni e diffondere applicazioni dropper nei circuiti degli store.
Tali app dropper, che rimangono dormienti dietro un apparente funzionamento legittimo per poi attivarsi e installare malware tramite aggiornamenti successivi, rappresentano senza dubbio un vettore di minacce crescente soprattutto per gli utenti della telefonia mobile.
Proprio questa peculiarità implementata sotto varie forme molto spesso consentirebbe alle app malevole di superare i controlli del Google Play Protect, permettendo di fatto alle loro componenti dropper di scaricare pericolosi trojan bancari Android in una fase successiva.
Indice degli argomenti
App dropper: così attaccano gli smartphone
Un dropper canaglia, come detto, può nascondersi all’interno di un’app dall’aspetto utile o assolutamente necessaria per quell’utente che finisce per l’installarla.
Una volta che l’app è stata caricata, la componente dropper potrebbe facilmente chiedere all’utente il download di un presunto aggiornamento ma da una fonte sconosciuta. Sarebbe quest’ultimo aggiornamento (la cosiddetta doppia fase) che consentirebbe in tal modo l’installazione del vero codice malevolo e abusare delle impostazioni di accessibilità (progettate per semplificare l’utilizzo del telefono da parte delle persone con disabilità) per condurre attacchi overlay, incorporare keylogger, infostealer e pilotare altre azioni illecite.
Una nuova generazione di trojan bancari
Sebbene Google continui ad aggiornare le tecniche di controllo sul proprio Play Store, purtroppo le campagne fraudolente in ambito mobile continuino a evolversi e a diffondersi attraverso la rete.
I recenti casi di dropper che hanno veicolato attraverso applicazioni di utilità e antivirus una nuova generazione di trojan bancari che si sono largamente diffusi grazie a migliaia di download ne sono purtroppo un esempio:
- Fast Cleaner, app segnalata perché veicolava il trojan bancario Xenomorph;
- Antivirus Super Cleaner e Alpha Antivirus Cleaner, app segnalate perché vettori per il trojan bancario SharkBot.
Quali possibili soluzioni di protezione
Purtroppo la sensibilizzazione dei propri clienti da parte delle banche e le misure di protezione messe in campo da fornitori di app e gestori di store potrebbero da sole non bastare.
Anche se le banche sensibilizzano i propri clienti sulle potenziali minacce, inevitabilmente è molto probabile che gli attori criminali contemporaneamente si stiano già adoperando per trovare nuove strategie per ingannare le loro vittime.
Pertanto non esistendo un modo assolutamente infallibile, una soluzione di protezione che gli sviluppatori di servizi di home banking potrebbero adottare è un approccio di difesa a più livelli e proattivo costituito da:
- un’autenticazione forte del cliente. Anche detta autenticazione SCA (Strong Customer Authentication), l’autenticazione forte è un requisito normativo europeo finalizzato a ridurre le frodi rendendo più sicuri i pagamenti online e quelli contactless offline, attraverso un’autenticazione multifattoriale aggiunta al flusso di pagamento. In particolare lo SCA richiede che l’autenticazione utilizzi almeno due dei seguenti tre elementi:
- informazioni note solo al cliente (password o PIN);
- oggetti posseduti solo dal cliente (telefono, token hardware);
- caratteristiche che possiede solo il cliente (riconoscimento biometrico);
- un’analisi del rischio cliente/azienda per la prevenzione delle frodi. Al fine di minimizzare la possibilità di accadimento di eventi fraudolenti si dovrebbero sviluppare e implementare delle procedure di prevenzione delle frodi e di rilevazione degli eventi sospetti, sviluppando delle fasi di identificazione dei rischi, di valutazione e predisposizione delle azioni di contrasto;
- una protezione in-app. Le app bancarie dovrebbero implementare una tecnologia in grado di identificare qualsiasi attività o interferenza nociva. La protezione in-app in particolare potrebbe risultare molto utile in quanto essendo implementata all’interno della stessa, potrebbe renderla più resiliente contro varie insidie quali ad esempio repackaging, script injection e cryptojacking.
Detto questo, non potendo avere oggettivamente alcun controllo su ciò che gli utenti fanno sui propri dispositivi mobili per proteggere le proprie applicazioni di mobile banking, occorrerebbe che gli sviluppatori progettassero le applicazioni presumendo che funzioneranno sempre in ambienti non sicuri.
In ogni caso, per tutti gli utenti, la raccomandazione di non scaricare app da store sconosciuti e di terze parti (Google Play Store e Apple Store comunque restano le fonti più affidabili e sicure) deve rimanere costantemente un buon punto di partenza, così come investire in una buona soluzione antivirus premium e completa non solo per i propri PC ma anche per la protezione dei propri smartphone.
