In questi tempi la truffa è sempre dietro l’angolo e bisogna stare sempre più attenti, addirittura quando si installa una banale applicazione dal PlayStore di Google. Evina, una società francese che si occupa di sicurezza informatica, ha scoperto tra maggio e giugno che circa 25 app rubavano credenziali Facebook tramite una falsa pagina di login. Scopri cosa è successo e soprattutto il meccanismo messo in atto per rubare le credenziali agli utenti.
Le 25 app sono state scoperte durante il mese di maggio da Evina e durante il mese di giugno sono state eliminate da Google dal suo PlayStore, a seguito dei relativi controlli di sicurezza. Sono state scaricate in totale 2,34 milioni di volte da parte degli utenti e comprendevano applicazioni con le più comuni utilità, come ad esempio app per utilizzare la torcia, per fare uno screenshot, per scegliere gli sfondi, giochi, conta-passi, file-manager e app meteo.
Fortunatamente quando Google rimuove una app dal PlayStore per motivi di sicurezza, questa viene anche disabilitata automaticamente sui dispositivi in cui è stata installata. L’utente inoltre riceve notizia dell’attacco phishing tramite Play Protect, anche se a vedere i commenti, come quelli riportati qui sopra, sono già state numerose le vittime della frode. Infatti alcune applicazioni sono rimaste attive e operanti anche per più di un anno. Scopri di seguito la lista delle applicazioni incriminate e soprattutto il meccanismo di phishing che hanno adottato.
Come funziona il phishing delle credenziali Facebook
Sebbene le applicazioni offrissero delle funzionalità assolutamente legali, al loro interno nascondevano il malware. Le 25 app rubavano credenziali Facebook tramite la creazione di una falsa pagina di login, mostrata in sovrappressione rispetto all’originale.
Evina ha scoperto infatti che una volta avviata, l’app interrogava il sistema per sapere quali applicazioni fossero aperte in quel momento. Se una di quelle applicazioni fosse stata Facebook allora si creava in automatico in primo piano una pagina browser con una falsa pagina di login di Facebook. Di seguito riportiamo, grazie ai programmatori di Evina, le stringhe all’interno dei codici delle applicazioni in questione, che mostrano il meccanismo criminale messo in atto
Quindi l’utente una volta lanciata l’app si vede aprire in primo piano una pagina login di Facebook, facendo pensare che sia l’applicazione stessa che richieda una registrazione con le credenziali Facebook. Quindi l’utente inserisce le credenziali di login e il malware, tramite javascript, recupera i dati e li invia ad un server remoto.
I dati che sono stati raccolti tramite questo meccanismo venivano poi inviati ad un server remoto, airshop.pw, che al momento risulta ovviamente inattivo.
25 app rubavano credenziali Facebook: la lista
| Nome app | Nome pacchetto | Numero di installazioni |
|---|---|---|
| Super Wallpapers Flashlight | com.wallpaper.flashlight.compass | 500000+ |
| Padenatef | com.sun.newjbq.beijing.ten | 500000+ |
| Wallpaper Level | com.liapp.level | 100000+ |
| Contour level wallpaper | com.communication.walllevel | 100000+ |
| iPlayer & iWallpaper | com.ldl.videoedit.iwallpapers | 100000+ |
| Video Maker | com.androidapp.videosedit.v | 100000+ |
| Color Wallpapers | com.play.ljj.wallpapercomapss | 100000+ |
| Pedometer | com.baidu.news.pedometer | 100000+ |
| Powerful Flashlight | com.meituanybw.flash | 100000+ |
| Super Bright Flashlight | com.tqyapp.sb.flashlight | 100000+ |
| Super Flashlight | com.superapp.xincheng | 100000+ |
| Solitaire Game | com.game.tqsolitaire | 100000+ |
| Accurate scanning of Meade | com.tqyapp.qr | 50000+ |
| Classic card game | com.card.solitairenew | 50000+ |
| Junk file cleaning | com.xdapp.cleaning | 50000+ |
| Synthetic Z | com.tqygame.synthetic | 50000+ |
| File Manager | com.smt.filemanager | 50000+ |
| Composite Z | com.game.hcz | 50000+ |
| Screenshot Capture | com.tianqiyang.lww.screenedit | 10000+ |
| Daily Horoscope Wallpapers | com.tianqiyang.lww.constellation | 10000+ |
| Wuxia Reader | com.wuxia.reader | 10000+ |
| Plus Weather | com.plus.android.weather | 10000+ |
| Anime Live Wallpaper | com.tqyapp.chuangtai | 100 |
| iHealth Step Counter | com.tiantian.lang.tencent | – |
| com.tgyapp.fiction | com.tgyapp.fiction | – |
Purtroppo siamo certi che non sarà l’ultimo caso di phishing che riporteremo, visto che questo tipo di attività fraudolenta è ormai sempre più frequente. Rispetto all’AppStore di Apple, il PlayStore ha una libreria di app molto più ampia, facendo sì che per Android siano di conseguenza meno rigorosi i controlli sulle singole applicazioni. Nonostante questo gli interventi da parte di Google per salvaguardare la sicurezza dei propri utenti sono sempre più numerosi; basti pensare ad esempio alle quasi 600 app rimosse dal PlayStore a febbraio 2020 o le circa 70 estensioni malevole rimosse dal browser Google Chrome solo poche settimane fa, in giugno 2020.
Dopo aver capito il meccanismo messo in atto con cui 25 app rubavano credenziali Facebook, ti invitiamo a prestare sempre la massima attenzione nel riportare in rete i tuoi dati personali o i tuoi dati accesso, soprattutto quando vengono richiesti da applicazioni di dubbia provenienza.
Per essere sempre informato al meglio sulle app dannose scovate e sulle ultime novità riguardo la sicurezza informatica, continua a leggere i nostri articoli sempre aggiornati.
