Site icon Ars Digitalia

Come ti rubano i dati personali con le app

ladro dati app

Abbiamo già affrontato in passato il discorso del “man in the middle” (MITM), l’attacco hacker usato per trafugare dati personali su connessioni non protette (se non hai letto quell’articolo, clicca qui). In questo articolo indaghiamo su una recente alternativa che si prepone lo stesso scopo di rubarci i dati personali, in particolare i dati di accesso bancari attraverso delle app.

Partiamo da alcune ipotesi, come sempre. Supponiamo che:

A questo punto vi starete chiedendo “mica l’app ufficiale della mia banca mi mette in pericolo”? Diciamo di no, non è l’app ufficiale che vi fa rischiare di passare i vostri dati bancari (login / pwd) a un malintenzionato, quanto le vostre abitudini sregolate.

Perchè non scaricare app da fonti non ufficiali

Ho dimenticato di aggiungere un’altra ipotesi:

Questa app di esempio contiene del codice malevolo, catalogato come “banking trojan” o “banking malware” dagli esperti. Praticamente vuole rubarvi i dati di accesso alla vostra banca.

Nota: al momento in cui scriviamo, l’app risulta rimossa dallo store Android ufficiale ma la potete scaricare (se proprio ci tenete) sugli stores non ufficiali, ad esempio qua: https [due punti] //androidappsapk.co/detail-funny-videos-2017-neoidea-funvideos2017/

Come può un’app che mostra video divertenti rubare i dati bancari dal cell? Qua viene la parte divertente.

Innanzitutto, l’app richiede dei permessi (i sistemi operativi mobile vi avvisano eh) che dovrebbero farvi suonare il primo campanello di allarme, in quanto non sono giustificati con l’attività che deve svolgere l’app, ma ovviamente servono al malware sottostante per derubarvi.

Poi, se questa prima richiesta viene soddisfatta, arriva la successiva: l’app richiede accessi da superadmin (o root). Anche qui, un SI o NO permette di salvarvi la vita. Diciamo che non ci fate caso e praticamente siete quei tipi che dicono SI a tutto, basta che l’app si installa e si avvia. Bene.

L’app suddetta effettivamente fa quello che deve e potreste passare dei gradevoli minuti di allegria, da soli o con gli amici. Purtroppo per voi però, l’accesso root al dispositivo permette al codice malevolo di spiarvi quando fate anche altro, per esempio quando aprite l’app della vostra banca.

Il malware controlla l’accesso a più di 400 banche in tutto il mondo (potrebbe esserci anche la vostra?) in quanto ha memorizzato il codice univoco dell’app ufficiale e può capire quando la aprite. Ad esempio BPM ha questo id Android univoco: id=it.bpm.bpmandroid.

Come funziona una truffa su un’app bancaria

Cosa succede quando aprite l’app della vostra banca di solito? Vi appare la schermata in cui inserire i vostri dati (Login /pwd) per accedere al vostro conto. Una cosa del genere (prendiamo ad esempio l’app di Unicredit Banca):

Siete proprio sicuri che state inserendo i vostri dati nell’interfaccia dell’app della vostra banca? Guardate questa immagine che spiega il funzionamento del malware e poi dopo ve la spiego:

Il malware sa che avete cliccato sull’icona dell’app della banca XY; prima di farvi aprire l’app ufficiale, si apre lei ed ha l’aspetto della schermata della vostra banca. Voi inserite i vostri dati nella schermata farlocca. Il malware, furbo, non si limita a prenderseli e fuggire. Per non darvi sospetti, prende i vostri dati e li passa all’app ufficiale facendovi fare il login corretto.

Non vi siete accorti di nulla, ma il “man in the middle” ha preso login e pwd del vostro account bancario e probabilmente li ha spediti a un server da qualche parte nel mondo dove il “rapinatore digitale” è pronto ad entrare nel conto per svaligiarvi.

Diabolico.

Cosa potete fare per evitare questa truffa? In pratica ve l’ho scritto prima:

Se avete Android >= 7 e volete vedere i permessi dati ad ogni app, fate così:

Poi cliccate su ogni permesso e verificate se è ammissibile che quel particolare permesso sia dato a quella particolare app.

Per iOS >= 10 fate così:

Raccontateci se avete scaricato app “truffaldine” o “bizzarre” e come vi siete difesi, o peggio se ne siete stati vittime.

 

Ringrazio i ricercatori dello SFY Labs (https://securify.nl/blog/SFY20170401/banking_malware_in_google_play_targeting_many_new_apps.html) per l’ottimo articolo.

 

 

 

Exit mobile version