Abbiamo già affrontato in passato il discorso del “man in the middle” (MITM), l’attacco hacker usato per trafugare dati personali su connessioni non protette (se non hai letto quell’articolo, clicca qui). In questo articolo indaghiamo su una recente alternativa che si prepone lo stesso scopo di rubarci i dati personali, in particolare i dati di accesso bancari attraverso delle app.
Partiamo da alcune ipotesi, come sempre. Supponiamo che:
- Avete un conto bancario (o qualcosa di simile) che per fortuna vi dà anche la possibilità di usarlo con un’app. Ovviamente l’app ufficiale, di cui vi fidate;
- Per necessità, per semplicità o per indolenza, preferite usare l’app per svolgere qualche operazione sul vostro conto, perché è rapido, comodo, efficiente.
- Supponiamo che siate “attenti” ai problemi di pirateria informatica e usiate l’app solo sulla rete 3G/4G oppure sulla vostra rete Wi-Fi casalinga protetta con una password di decente difficoltà. Se non siete sufficientemente attenti a questo punto, recuperate gli articoli precedenti (link) e vedrete che rischiate grosso!
A questo punto vi starete chiedendo “mica l’app ufficiale della mia banca mi mette in pericolo”? Diciamo di no, non è l’app ufficiale che vi fa rischiare di passare i vostri dati bancari (login / pwd) a un malintenzionato, quanto le vostre abitudini sregolate.
Perchè non scaricare app da fonti non ufficiali
Ho dimenticato di aggiungere un’altra ipotesi:
- Vi sentite “fighi” e scaricate app di ogni tipo, basta che fanno quello che vi serve, anche se non passano dagli stores ufficiali (Play Android o Apple Store). Per esempio, per dirne una: Funny Videos 2017 (vedi immagine sotto), un’app che vi mostra i video più divertenti che girano in rete, per Android. Carina vero? Fino ad aprile 2017 aveva avuto circa 5000 download e non era neanche su uno store “alternativo”, ma sul Play Store ufficiale.
Questa app di esempio contiene del codice malevolo, catalogato come “banking trojan” o “banking malware” dagli esperti. Praticamente vuole rubarvi i dati di accesso alla vostra banca.
Nota: al momento in cui scriviamo, l’app risulta rimossa dallo store Android ufficiale ma la potete scaricare (se proprio ci tenete) sugli stores non ufficiali, ad esempio qua: https [due punti] //androidappsapk.co/detail-funny-videos-2017-neoidea-funvideos2017/
Come può un’app che mostra video divertenti rubare i dati bancari dal cell? Qua viene la parte divertente.
Innanzitutto, l’app richiede dei permessi (i sistemi operativi mobile vi avvisano eh) che dovrebbero farvi suonare il primo campanello di allarme, in quanto non sono giustificati con l’attività che deve svolgere l’app, ma ovviamente servono al malware sottostante per derubarvi.
Poi, se questa prima richiesta viene soddisfatta, arriva la successiva: l’app richiede accessi da superadmin (o root). Anche qui, un SI o NO permette di salvarvi la vita. Diciamo che non ci fate caso e praticamente siete quei tipi che dicono SI a tutto, basta che l’app si installa e si avvia. Bene.
L’app suddetta effettivamente fa quello che deve e potreste passare dei gradevoli minuti di allegria, da soli o con gli amici. Purtroppo per voi però, l’accesso root al dispositivo permette al codice malevolo di spiarvi quando fate anche altro, per esempio quando aprite l’app della vostra banca.
Il malware controlla l’accesso a più di 400 banche in tutto il mondo (potrebbe esserci anche la vostra?) in quanto ha memorizzato il codice univoco dell’app ufficiale e può capire quando la aprite. Ad esempio BPM ha questo id Android univoco: id=it.bpm.bpmandroid.
Come funziona una truffa su un’app bancaria
Cosa succede quando aprite l’app della vostra banca di solito? Vi appare la schermata in cui inserire i vostri dati (Login /pwd) per accedere al vostro conto. Una cosa del genere (prendiamo ad esempio l’app di Unicredit Banca):
Siete proprio sicuri che state inserendo i vostri dati nell’interfaccia dell’app della vostra banca? Guardate questa immagine che spiega il funzionamento del malware e poi dopo ve la spiego:
Il malware sa che avete cliccato sull’icona dell’app della banca XY; prima di farvi aprire l’app ufficiale, si apre lei ed ha l’aspetto della schermata della vostra banca. Voi inserite i vostri dati nella schermata farlocca. Il malware, furbo, non si limita a prenderseli e fuggire. Per non darvi sospetti, prende i vostri dati e li passa all’app ufficiale facendovi fare il login corretto.
Non vi siete accorti di nulla, ma il “man in the middle” ha preso login e pwd del vostro account bancario e probabilmente li ha spediti a un server da qualche parte nel mondo dove il “rapinatore digitale” è pronto ad entrare nel conto per svaligiarvi.
Diabolico.
Cosa potete fare per evitare questa truffa? In pratica ve l’ho scritto prima:
- Fate attenzione a dove scaricate l’app e fidatevi, ma non troppo, solo degli stores ufficiali
- Fate attenzione ai permessi che vi chiede l’app: sono giustificati da quello che deve fare? Perché chiede tutta questa roba?
- Nel dubbio, cercate un’altra app che faccia cose simili. Negli stores trovate spesso doppioni di app, ormai c’è di tutto.
Se avete Android >= 7 e volete vedere i permessi dati ad ogni app, fate così:
- Impostazioni -> App -> (rotellina in alto a destra) -> Autorizzazioni app
Poi cliccate su ogni permesso e verificate se è ammissibile che quel particolare permesso sia dato a quella particolare app.
Per iOS >= 10 fate così:
- Impostazioni -> Privacy
Raccontateci se avete scaricato app “truffaldine” o “bizzarre” e come vi siete difesi, o peggio se ne siete stati vittime.
Ringrazio i ricercatori dello SFY Labs (https://securify.nl/blog/SFY20170401/banking_malware_in_google_play_targeting_many_new_apps.html) per l’ottimo articolo.