50.000 installazioni sui dispositivi Android e Xenomorph può seminare il terrore. Il nuovo malware prende di mira i dati bancari delle vittime e al momento si è diffuso in Spagna, Portogallo, Italia e Portogallo.
La società di sicurezza informatica ThreatFabric si sta occupando di analizzare un nuovo malware per smartphone. Già scaricato inconsapevolmente su ben 50.000 dispositivi con sistema Android la minaccia porta il nome di Xenomorph.
Il nome dato al malware deriva dal fatto che il suo codice lo rende simile al trojan bancario Alien. Per restare in linea con il film pareva d’obbligo, ma c’è ben poco da scherzare. Il nemico di Android si è già diffuso in quattro paesi europei e il suo obiettivo sono le credenziali bancarie. Una volta rilevati i conti c’è il grosso rischio che avvengano transazioni non autorizzate.
Ma come ha fatto Xenomorph a circolare tranquillamente all’interno di Google Play Store? Tutto è partito da un’applicazione nota come Fast Cleaner, associata ad un miglioramento delle prestazioni dei dispositivi. Uno specchietto per le allodole perfetto, dato l’interesse del cliente medio per soluzioni legate alla velocità del proprio cellulare.
Il trucco di Fast Cleaner è che al momento del download risulta perfettamente sicura. L’applicazione recupera il malware solamente dopo l’installazione, e per questo viene incluso nella famiglia dei dropper scoperta l’anno scorso e battezzata Gymdrop.
I dropper e gli antivirus
Il dropper in informatica si usa per definire un programma in grado di installare un virus o una backdoor su un altro sistema. Se il codice del malware è interno al dropper può facilmente eludere gli antivirus. Altrimenti sempre il dropper può scaricarlo in un secondo momento, come Xenomorph.
Tutti i programmi della famiglia Gymdrop si propongono come applicazioni relative a Google Pay, Chrome o a Bitcoin. Xenomorph è ancora in fase di sviluppo ma può sottrarre informazioni ad almeno 56 banche europee. Nel contesto italiano tra i bersagli ci dovrebbero essere Intesa Sanpaolo Mobile, BNL, Carige Mobile, Banca MPS, Bancaperta, UBI Banca e persino Postepay.
Il malware è in grado di sottrarre anche i codici temporanei utilizzati durante l’autenticazione a due fattori. In questo modo può sia accedere al conto che effettuare bonifici. Non solo, è in grado di procedere ad attacchi overlay scavalcando le autorizzazioni di accessibilità. E non è ancora completo, quindi non ha ancora raggiunto il suo pieno potenziale.