Furto di password tramite app Android

Circa due anni fa, gli esperti di Kaspersky avevano individuato sul Google Play Store un malware nascosto in VK Music per Android. Si trattava in realtà di una falsa app che permetteva il furto delle credenziali di accesso al noto social network russo. La software house ha scoperto tra ottobre e novembre 2017 altre 85 app sviluppate per lo stesso obiettivo. I cybercriminali hanno anche pubblicato un client non ufficiale di Telegram.

Una delle applicazioni, scaricate oltre un milione di volte dallo store Google, era stata pubblicizzata come un gioco nel mese di marzo 2017. Ad ottobre, ovvero circa sette mesi dopo, gli autori hanno rilasciato un aggiornamento, aggiungendo il codice del malware, rilevato dai software Kaspersky come Trojan-PSW.AndroidOS.MyVk.o. Molte app avevano un design simile a quelle di VK.com, quindi gli utenti hanno pensato che si trattasse di versioni legittime. I cybercriminali erano riusciti ad eludere il sistema di controllo del Google Play Store, apportando alcune modifiche al codice.

In particolare era stata usata una versione modificata del VK SDK e un codice JavaScript che consentiva di rubare le credenziali di accesso al social network, richieste dall’app per il login. Email e password venivano quindi cifrate e inviate ad un server remoto. Il malware era stato sviluppato per promuovere determinati gruppi su VK.com. Gli utenti venivano aggiunti a questi gruppi a loro insaputa, utilizzando i dati dell’account, in modo da incrementare la popolarità.

Gli stessi cybercriminali avevano sviluppato app simili a Telegram, usando il suo SDK open source. Anche in questo caso gli utenti venivano aggiunti a gruppi e chat. Kaspersky ha segnalato le app in questione a Google che ha provveduto immediatamente alla loro rimozione dallo store.