Bankbot, ecco il virus che ruba i dati delle carte di credito tramite un gioco per Android

BankBot è tornato. Una nuova versione del virus informatico capace di rubare i dati delle carte di credito si annida in una falsa versione del gioco mobile Jewels Star. A mettere in guardia gli utenti è Eset, casa produttrice di software, specializzata in antivirus. Il malware, già scoperto a inizio 2017, si è evoluto in diverse versioni, presenti sull'app store di Android, ma non solo.

Quella nascosta nel gioco, scoperta questo mese, è la più evoluta: combina il sistema di offuscamento del codice migliorato, una sofisticata funzionalità di esecuzione del payload e un complesso meccanismo di infezione che sfrutta il Servizio Accessibilità di Android.

Eset ha spiegato in dettaglio cosa succede quando l'utente ignaro scarica la versione "maligna" di Jewels Star da Google Play. Quando un utente scarica da Google Play "Jewels Star Classic" (i cybercriminali hanno usato impropriamente il nome della serie di giochi legittimi Jewels Star, che non sono in alcun modo legati a questa campagna malware), ottiene un gioco Android perfettamente funzionante ma che nasconde il payload di BankBot. Il codice malevolo viene innescato dopo 20 minuti dalla prima esecuzione attraverso un avviso che appare sul dispositivo e che richiede all'utente di abilitare Google Service. Dopo aver cliccato su "ok", l'unico modo per far scomparire l'avviso e continuare a giocare, l'utente viene indirizzato sul menu di Accessibilità di Android nel quale  comparirà il nuovo Google Service, servizio inesistente creato dal malware. La descrizione visualizzata a questo punto, presa dai Termini del Servizio originali di Google, chiede un nuovo "ok" attraverso il quale l'utente fornisce i permessi di accessibilità a BankBot, dando così la massima libertà al malware di svolgere qualsiasi attività pericolose, tra cui il furto dei dati della carta di credito della vittima.

«Controllare la presenza di Jewels Star Classic non è sufficiente - avverte Eset - perché i criminali cambiano spesso l'app usata per diffondere BankBot». Vanno controllati altri due indicatori: «La presenza di un'app chiamata "Google Update" o di "System update" tra gli amministratori attivi del dispositivo e infine la visualizzazione continua dell'avviso "Google Service"».

Per pulire manualmente il dispositivo, consiglia  l'azienda specializzata in cyber security, bisogna innanzitutto disabilitare i diritti di amministratore sul dispositivo per "System update" e quindi procedere alla disinstallazione di "Google Update".
Giovedì 28 Settembre 2017 - Ultimo aggiornamento: 29-09-2017 16:51

© RIPRODUZIONE RISERVATA

COMMENTA LA NOTIZIA
0 di 0 commenti presenti
QUICKMAP