Il Google Play Store, da sempre considerato un punto di riferimento per la distribuzione sicura di app Android, si conferma ancora una volta un bersaglio privilegiato per attori malevoli.
L’ultima analisi pubblicata da Cyble Research & Intelligence Labs (CRIL) ha evidenziato la presenza di diverse applicazioni crypto fraudolente che agiscono come strumenti di phishing, sottraendo dati sensibili agli ignari utenti.
Indice degli argomenti
Obiettivi e meccanismo dell’inganno
A differenza di molte campagne malware che si affidano ad APK scaricabili da siti di phishing, queste app sono state ospitate direttamente sul Play Store, aumentando notevolmente la loro credibilità.
Le app utilizzano nomi, loghi e interfacce che imitano in modo credibile brand popolari del mondo delle cripto valute e verrebbero distribuiti da account di sviluppatori probabilmente compromessi.
Fonte: Cyble.
Fonte: Cyble.
Le app scoperte da Cyble si presentano come strumenti apparentemente legittimi legati al mondo delle criptovalute, sfruttando nomi riconoscibili come SushiSwap, PancakeSwap, Hyperliquid e Raydium con il solo scopo di rubare le credenziali di accesso e le chiavi private degli utenti, inducendoli a inserire manualmente le proprie informazioni all’interno di interfacce ben allestite ma del tutto false.
Tutte le informazioni rubate verrebbero successivamente trasmesse a server controllati dagli attaccanti.
Cyble avrebbe individuato, infatti, link di comando e controllo (C2), utilizzati per gestire i dati sottratti, addirittura inclusi nelle informative sulla privacy delle app.
Inoltre, vale la pena notare che in diversi casi, le app utilizzano uno strumento di sviluppo noto come “Median Framework” per la rapida conversione di siti web in app Android e caricare le pagine di phishing direttamente in una WebView.
L’uso illecito delle credenziali carpite potrebbe comportare oltre ad una perdita diretta di fondi crypto anche la compromissione dell’identità digitale e di altri dispositivi condivisi.
Fonte: Cyble.
Raccomandazioni di sicurezza
La crescente popolarità delle criptovalute continua ad attrarre cyber criminali ben organizzati, capaci di sfruttare anche i canali ufficiali come il Play Store per colpire gli utenti.
Le app di phishing individuate da Cyble mostrano come la fiducia riposta nelle piattaforme degli store online non sia più sufficiente: l’utente deve diventare parte attiva nella propria protezione.
“Ciò che rende questa campagna particolarmente pericolosa è l’utilizzo di applicazioni apparentemente legittime, ospitate su account di sviluppatori precedentemente innocui o compromessi, combinato con un’infrastruttura di phishing su larga scala collegata a oltre 50 domini. Questo non solo estende la portata della campagna, ma riduce anche la probabilità di un rilevamento immediato da parte delle difese tradizionali”, si legge nel rapporto.
Che conclude: “In caso di successo, questi attacchi possono causare perdite finanziarie irreversibili alle vittime, soprattutto perché le transazioni in criptovaluta non sono facilmente reversibili o protette come quelle del sistema bancario tradizionale. Con la continua espansione dell’ecosistema delle criptovalute, gli utenti devono rimanere vigili e gli stakeholder dell’ecosistema, inclusi app store, fornitori di sicurezza e sviluppatori, devono adottare misure proattive per identificare, bloccare e segnalare rapidamente tali minacce”.
Al momento, alcune delle app in oggetto sarebbero ancora attive sul Play Store. Cyble ha condiviso dettagliati indicatori di compromissione (IoC), che gli amministratori possono valutare di implementare sui propri apparati di sicurezza.
Per l’utente Android, Cyble consiglia altresì alcune best practice:
- scaricare applicazioni solo da sviluppatori verificati e controlla le recensioni;
- attivare Google Play Protect sui dispositivi Android;
- prestare attenzione ai link ricevuti sul telefono via e-mail e SMS;
- abilitare l’autenticazione 2FA, quando possibile;
- utilizzare un antivirus anche nei dispositivi mobili.
