App che rubano le credenziali di Facebook e le chiavi di accesso alle criptovalute: nuove minacce

Capita nel Play Store di trovare app che sfuggono ai controlli del team di Google ed eseguano operazioni dannose come il furto di credenziali utente e altre informazioni sensibili, comprese le chiavi private di accesso al portafoglio di criptovalute. Alcune di queste app sono state scaricate anche centomila volte, e il sito Trend Micro le ha analizzate per scoprire come funzionano.

Canale Telegram Offerte

Molte app contengono varianti del malware chiamato "Facestealer", che come suggerisce il nome sottrae le credenziali di accesso a Facebook, in modo da usarle per phishing, post falsi o altro. Nel database MARS (Mobile App Reputation Service) di Trend Micro sono state rilevate più di 200 app che contengono questo spyware, principalmente camuffate da app di fitness, fotoritocco e VPN, e sono già state rimosse dal Play Store.

Il meccanismo è piuttosto complesso ed è favorito dal modo in cui Facebook gestisce la sua politica di gestione dei cookie.

All'avvio dell'app, questa invia una richiesta a un sito per scaricare una configurazione crittografata. A quel punto l'app aspetta che appaia un prompt per l'accesso a Facebook e quando ciò avviene avvia una visualizzazione web che in pratica ruba le credenziali che l'utente inserisce tramite un cookie, e le manda crittografate a un server (qui trovate la spiegazione tecnica completa, con tanto di indicatori di compromissione).

Alcune di queste app sono:

• Daily Fitness OL
• Enjoy Photo Editor
• Panorama Camera
• Photo Gaming Puzzle
• Swarm Photo
• Business Meta Manager

Trend Micro ha poi scovato più di 40 false app per il mining di criptovalute, anche in questo caso già rimosse dal Play Store, progettate per indurre gli utenti ad acquistare servizi a pagamento o a cliccare su annunci pubblicitari attirandoli con la prospettiva di guadagni fasulli in criptovaluta.

Le app sono per la maggior parte sviluppate usando Kodular, una suite online gratuita per lo sviluppo di app, e per esempio nel caso di "Cryptomining Farm Your own Coin" richiedono chiavi private, caricandole su siti web all'apparenza legittimi che però non solo non sono crittografati, ma caricano le chiavi private e rubano anche le frasi mnemoniche (serie di parole non correlate che vengono generate quando viene creato un portafoglio di criptovalute in modo da recuperare il denaro in caso si perda il portafoglio).

In alcuni casi, addirittura gli attori malevoli cercano di attrarre le vittime proponendo 0,1 ETH (240 dollari). 

Di nuovo vi rimandiamo al testo originale, consigliandovi di cercare di prestare la dovuta attenzione controllando le recensioni (soprattutto negative) delle app, e controllando anche gli sviluppatori coinvolti. Trend Micro ritiene che in futuro possano apparire altri metodi per rubare chiavi private e frasi mnemoniche.