I ricercatori di Eset, società specializzata in cybersecurity, hanno di recente reso noto di aver individuato e analizzato un’app Android che si è rivelata essere un malware estremamente pericoloso, in grado di eseguire una serie di azioni molto dannose, tra cui, in particolare, prosciugare il conto bancario o il portafoglio di criptovaluta delle vittime così come prendere il controllo dei loro account di posta elettronica o dei social media.
Denominato DEFENSOR ID, questo trojan bancario era disponibile su Google Play, al momento dell’analisi effettuata dagli specialisti di sicurezza di Eset.
L’app è dotata di funzionalità che Eset definisce di livello standard, per il furto di informazioni. Tuttavia, questo trojan bancario è descritto dai ricercatori come eccezionalmente insidioso in quanto, dopo l’installazione, richiede una singola azione da parte della vittima (abilitare il servizio di accessibilità di Android) per scatenare nella sua pienezza il potenziale dannoso dell’app.
L’app DEFENSOR ID, evidenzia Eset, è arrivata sul Google Play Store, che pure è pesantemente sorvegliato, grazie alla sua estrema invisibilità.
I suoi creatori, hanno spiegato i ricercatori di cybersecurity, hanno ridotto al minimo la superficie nociva dell’app, rimuovendo tutte le funzionalità potenzialmente dannose tranne una: l’uso illecito dell’Accessibility Service.
L’Accessibility Service, sottolinea Eset, è noto da tempo come il tallone d’Achille del sistema operativo Android. Le soluzioni di sicurezza sono in grado di rilevarlo in innumerevoli combinazioni con altre autorizzazioni e funzioni sospette o funzionalità dannose, ma quando si sono trovate di fronte all’assenza di funzionalità o autorizzazione aggiuntiva, nessuna di esse è riuscita a innescare alcun allarme su DEFENSOR ID.
Nel dichiarare che tutte le soluzione di sicurezza hanno fallito nell’intercettare questa minaccia, i ricercatori di Eset hanno voluto intendere tutti i meccanismi di sicurezza a protezione dell’app store Android ufficiale (inclusi i motori di rilevamento dei membri dell’App Defense Alliance) e tutti i fornitori di security che partecipano al programma VirusTotal.
DEFENSOR ID è stato rilasciato il 3 febbraio 2020 e aggiornato alla v1.4 il 6 maggio 2020. L’ultima versione è quella analizzata dai ricercatori di Eset, che non sono stati in grado di determinare se anche le versioni precedenti fossero dannose.
Secondo il suo profilo su Google Play, l’app ha raggiunto solo qualche decina di download. Eset lo ha segnalato a Google il 16 maggio 2020 e dal 19 maggio 2020 l’app non è più disponibile su Google Play.
L’app, che utilizzava come nome dello sviluppatore GAS Brasile, paradossalmente prometteva una migliore sicurezza per gli utenti. Inoltre, ingannevolmente, era stata elencata nella sezione Istruzione.
Insieme all’app DEFENSOR ID, hanno inoltre aggiunto i ricercatori, è stata scoperta un’altra app nociva denominata Defensor Digital, su cui Eset non ha potuto indagare perché era già stata rimossa dal Google Play Store.