ESET ha individuato ben tre false app bancarie su Google Play che sottraggono i dati delle carte di credito e che pubblicano i dati, in chiaro, tramite un server esposto.
Le tre applicazioni, nello store ufficiale Google Play, dichiarano di aumentare il plafond delle carte di credito degli utenti e cercano così di ottenere i dettagli delle carte e le credenziali di accesso all’Internet banking. Ma la cosa peggiore è appunto che i dati rubati alle vittime vengono diffusi online.
Le tre app legittime interessate sono: iMobile by ICICI Bank, RBL MoBANK, HDFC Bank MobileBanking (New) – caricate su Google Play tra giugno e luglio 2018 e, dopo la segnalazione di ESET, immediatamente rimosse, anche se, in questo periodo di tempo, centinaia di vittime sono però state colpite.
Come funzionano queste app?
Tutte e tre le app seguono la stessa procedura: al momento dell’esecuzione viene visualizzato un primo modulo che richiede i dati della carta di credito ed un secondo form che richiede le credenziali di accesso personali all’Internet banking. È interessante notare che, anche se tutti i campi sono contrassegnati come “richiesti” (*), entrambi i moduli possono essere inviati vuoti senza restituire un messaggio di errore – un chiaro indicatore di qualcosa di sospetto. Facendo clic su entrambi i form, compilandoli o meno, gli utenti vengono indirizzati alla terza e ultima schermata, che ringrazia gli utenti per il loro interesse e li informa che un “Responsabile del servizio clienti” li contatterà a breve. Inutile dire che a questo punto nessuno contatterà le vittime e l’app non offrirà ulteriori funzionalità.
Nel frattempo, i dati inseriti nei moduli fasulli vengono inviati in chiaro al server del cyber criminale, che è accessibile a chiunque ne conosca l’indirizzo, senza richiedere alcuna autenticazione. Ciò aumenta esponenzialmente il possibile danno per le vittime, dal momento che i loro dati sensibili non sono solo a disposizione del criminale, ma sono potenzialmente disponibili per chiunque vi acceda.
Come proteggersi?
In generale installare seguire le seguenti indicazioni:
-
Fidarsi soltanto delle app di mobile banking collegate al sito Web ufficiale della propria banca
-
Non inserire mai le proprie informazioni riservate nei moduli online se non si è sicuri della loro sicurezza e legittimità
-
Quando si scaricano app da Google Play, prestare molta attenzione al numero di download, alle valutazioni e alle recensioni delle app
-
Mantenere aggiornato il dispositivo Android e utilizzare una soluzione di sicurezza mobile affidabile
Fonte ESet