Un trojan ha infettato più di 10 milioni di dispositivi Android

Nonostante gli sforzi di Google per aumentare il livello di protezione di Google Play, è stato segnalato un nuovo trojan che sarebbe stato in grado di insinuarsi in 200 diverse app dello store e infettare addirittura 10 milioni di dispositivi Android in tutto il mondo. Chiamato GriftHorse, il trojan era in grado di prendere il controllo delle app e visualizzare notifiche che comunicano la vittoria di premi.

Google Play: attacco su larga scala tramite SMS

I ricercatori del team Zimperium zLabs sono stati i primi a individuare il malware e, dopo averlo segnalato a Google, quest’ultima ha provveduto all’immediata rimozione delle app coinvolte. Queste visualizzavano le notifiche incriminate ogni 10 minuti circa e quando l’utente vi premeva veniva indirizzato a una pagina web in cui gli si richiedeva il numero di cellulare per una presunta verifica all’identità. In realtà, in questo modo sottoscriveva un abbonamento a un servizio a base di SMS dal costo di circa 30 Euro al mese.

Android Malware

Secondo i ricercatori di Zimperium questa campagna di scamming va avanti dal novembre 2020 e ha riguardato milioni di utenti residenti in più di 70 paesi del mondo. Nonostante questo particolare trojan sia stato adesso inibito, sul Google Play circolano continuamente frodi del genere, in particolare basate sull’invio di SMS. Ma i ricercatori affermano che è significativo il modo con cui gli aggressori in questo caso siano riusciti ad aggirare le protezioni di Google Play.

Il trojan era molto sofisticato, in quanto riusciva anche a verificare gli indirizzi IP delle vittime allo scopo di individuare la regione geografica in cui risiedevano e mostrare la pagina web con la richiesta dell’identità nella lingua opportuna. Gli attaccanti si sono preoccupati di non riutilizzare gli URL, il che può facilitare il lavoro delle aziende di sicurezza nel rintracciarli. Il contenuto delle pagine web, inoltre, era di alta qualità in tutte le lingue, senza quegli errori di battitura e grammaticali che spesso permettono di capire che si è al cospetto di una truffa.

Zimperium è un membro dell’App Defense Alliance di Google, una coalizione di società di terze parti che aiutano a tenere sotto controllo il malware del Google Play Store. Altri malware con funzionamento simile circolano sugli store come il Google Play, per cui si consiglia sempre all’utente di valutare bene qualsiasi tipo di comunicazione riceva, in particolar modo se arriva tramite SMS.