Gli “agenti patogeni” dei nostri dispositivi elettronici ormai non si contano neanche più. Malware, ransomware e trojan di ogni tipo infettano ogni giorno cellulari e computer, rivelando a ogni occasione una “resistenza” maggiore agli “antidoti” proprio come fanno batteri e virus per l’organismo umano (se avete un dispositivo Apple fate subito l’aggiornamento: ecco perché).
L’ultima minaccia corre ancora una volta su Play Store e riguarda proprio un malware di recente sviluppo. O, meglio, il “dropper” di un malware, chiamato per l’appunto Daw Dropper. Trend Micro, l’azienda leader globale nel settore di cyber security, l’ha scovato all’interno di ben 14 app scaricate da migliaia di utenti, che ora rischiano di vedere intaccato il proprio conto bancario online.
Cos’è un dropper
Un dropper è tecnicamente un programma sviluppato per installare un malware, un virus o aprire un varco in un sistema informatico. Ne esistono due tipi principali:
- singola fase: il codice del malware può essere contenuto dentro il dropper, in modo tale da evitarne il rilevamento da parte degli antivirus;
- doppia fase: il dropper, una volta attivo, può scaricare il malware nel sistema scelto come bersaglio.
Esiste poi un sottogruppo abbastanza diffuso di dropper, chiamato injector, che installa un malware solo nella memoria. Molti dropper non richiedono inoltre l’interazione utente, ma sfruttano un exploit, cioè un codice che si serve di una vulnerabilità del sistema. Altri invece richiedono l’interazione dell’utente convincendo la vittima che si tratta di un programma sicuro e necessario (attenti anche al finto sms INPS svuota conto).
Cos’è Daw Dropper e quanto è pericoloso
Daw Dropper è in grado di infettare gli smartphone con 4 tipi di virus diversi: Octo, Hydra, Ermac e TeaBot. Si tratta di pericolosi malware bancari, cioè virus che puntano a rubare le credenziali di accesso alle app per controllare i conti in banca. Proprio come il Covid ha sviluppato diverse varianti per non tentare di non farsi riconoscere dal sistema immunitario, anche questo tipo di dropper si è diversificato per non essere scoperto dagli antivirus di Google. Al punto che una delle app infettate era disponibile su Play Store addirittura da maggio 2021, senza che nessuno (o quasi) se ne accorgesse.
Daw Dropper può essere definito tecnicamente un trojan di accesso remoto, con il quale lo sviluppatore può ottenere l’accesso remoto al dispositivo Android di chiunque. RAT è uno dei malware più pericolosi che consente a un utente malintenzionato di ottenere non solo l’accesso al dispositivo, ma anche il pieno controllo su di esso.
Dopo aver rubato le credenziali (compresi PIN e codici segreti), questi virus le inviano ai propri server di controllo, tramite i quali potranno accedere ai conti bancari privati, con l’intento di svuotarli. Come spiega Trend Micro, Daw Dropper è in grado di spiare qualsiasi attività compiuta sullo smartphone, incluso controllare gli SMS (tramite i quali le banche mandano il codice OTP per autorizzare i bonifici), eseguire altro codice e script in background e lanciare altre app potenzialmente pericolose (qui abbiamo parlato di un’altra truffa tramite app che svuota il conto).
Le 14 app infette da non scaricare o eliminare subito
Una volta scovate, le 14 applicazioni infette scoperte da Trend Micro sono state prontamente rimosse da Play Store. Molte avevano però già registrato moltissimi download. Per questo si consiglia di controllare se sullo smartphone avete una di queste app e, nel caso, di eliminarle subito dalla memoria:
- Call Recorder APK
- Rooster VPN
- Super Cleaner – hyper & smart
- Document Scanner – PDF Creator
- Universal Saver Pro
- Eagle photo editor
- Call recorder pro+
- Extra Cleaner
- Crypto Utils
- FixCleaner
- Just In: Video Motion
- Lucky Cleaner
- Simpli Cleaner
- Unicc QR Scanner
L’applicazione infetta Call Recorder era presente su Play Store da maggio 2021, mentre Unicc QR Scanner era stata caricata in precedenza e poi rimossa perché contenitore del virus Octo. Dopo aver cancellato l’app o le app presenti in lista, occorre scaricare e attivare un antivirus per Android. Oltre ovviamente a controllare movimenti ed eventuali anomalie sul conto online, provvedendo a segnalarle subito alla banca.
Come evitare di essere infettati
Uno dei principali veicoli di accesso di Daw Dropper al cellulare è il link da cui scaricare una delle 14 app, che arriva di norma via SMS. Finché non si clicca sul collegamento e non si installa il contenuto, non si corrono rischi. Il trojan non può dunque prendere il pieno controllo del dispositivo.
Per evitare di cadere nella trappole si possono osservare alcuni accorgimenti. Il primo è quello di bloccare installazioni (automatiche o meno) di app da fonti terze, selezionando questa opzione nel menu “Impostazioni” del proprio cellulare. Questa “barriera” non impedirà affatto di continuare ad avviare volontariamente download di giochi, film, musica, libri, app e file di ogni tipo.
Il secondo passaggio riguarda il download e l’installazione dell’antivirus (ne basta uno solo, l’abbondanza in questo caso non aumenta la sicurezza).
Il terzo e ultimo passaggio è la verifica delle autorizzazioni del software esistente, la cui immagine dovrà essere accompagnata da un triangolo rosso e dalla scritta “No command”.
Italia prima in Europa per numero di minacce informatiche
Le minacce informatiche – ai danni non solo degli utenti comuni, ma anche di aziende e istituzioni – vedono l’Italia prima nella triste classifica dei Paesi europei più colpiti. Secondo Trend Micro e l’Osservatorio Cyber di Crif, che si occupa di sistemi di informazioni creditizie, nella prima metà del 2022 il nostro Paese ha registrato più di 780mila allarmi relativi a dati presenti nel dark web, registrando un aumento del 44,1% rispetto al semestre precedente.
A minacciare principalmente gli italiani sono i cosiddetti ransomware, che prendono in ostaggio sistemi e dispositivi per poi liberarli mediante un riscatto. L’elenco delle vittime è vario: privati, aziende e anche ospedali impegnati nell’emergenza Covid. Secondo l’Osservatorio, i dati personali degli utenti italiani che circolano sul dark web sono: credenziali email, numero di telefono e dominio email. Anche l’ultimo report dell’azienda di sicurezza informatica Trend Micro ha segnalato un vero e proprio boom del virus che, sul totale dei ransomware intercettati nel mondo (8.032.336), è stato individuato nella misura del 3,56%.
Oltre a essere prima in Europa, l’Italia è anche 14esima nella classifica globale dei Paesi maggiormente soggetti a scambio di dati di carte di credito. Al secondo posto gli Stati Uniti e poi a seguire Russia, Regno Unito, Brasile e Canada. Inoltre, l’aspetto interessante è che l’indirizzo postale completo delle vittime di hackeraggio è stato trovato al 70% dei casi in combinazione con un numero di telefono, consentendo così all’esperto informatico di completare il profilo della vittima e geolocalizzarlo.
