Google è senza dubbio l’azienda principale nel campo dei software per dispositivi mobili, con Android, diffuso su tutti gli smartphone e tablet, ad eccezione di quelli Apple. L’azienda da grande importanza alla sicurezza dei device, rilasciando continuamente patch di sicurezza per riparare eventuali bug e renderli il più possibile protetti. Purtroppo non sempre ci riesce.

Una vulnerabilità in milioni di telefoni Android, infatti, viene sfruttata attivamente da un malware progettato per drenare i conti bancari degli utenti infetti, secondo gli esperti. La vulnerabilità consente alle app dannose di mascherarsi come app legittime che gli utenti hanno già installato e di cui si fidano, hanno riferito i ricercatori della società di sicurezza Promon. Funzionando con l’apparenza di app affidabili già installate, le applicazioni dannose possono quindi richiedere autorizzazioni per eseguire attività sensibili, come la registrazione di audio o video, scattare foto, leggere messaggi di testo o credenziali di accesso per phishing. I target che fanno clic su “Sì” per la richiesta vengono quindi compromessi.

Il malware che colpisce gli smartphone Android

La maggior parte delle volte gli hacker sfruttano dei bug, delle vulnerabilità nella sicurezza dei software per colpire gli utenti. In questo specifico caso, la vulnerabilità si trova in una funzione nota come TaskAffinity, una funzionalità multitasking che consente alle applicazioni di assumere l’identità di altre o di attività in esecuzione nell’ambiente multitasking. Combinando l’attività falsificata con un’attività allowTaskReparenting aggiuntiva o avviando l’attività dannosa con un Intent.FLAG_ACTIVITY_NEW_TASK, le app dannose verranno posizionate all’interno e sopra l’attività di destinazione.

“Pertanto l’attività dannosa dirotta il compito del bersaglio”, hanno scritto i ricercatori Promon. “La prossima volta che l’app di destinazione viene lanciata da Launcher, l’attività dirottata verrà portata in primo piano e l’attività dannosa sarà visibile. L’app dannosa deve quindi apparire come l’app di destinazione solo per lanciare con successo sofisticati attacchi contro l’utente. È possibile dirottare un’attività di questo tipo prima ancora che l’app di destinazione sia stata installata.”

Promon ha affermato che Google ha prontamente rimosso le applicazioni dannose dal suo Play Store, ma finora la vulnerabilità sembra non essere stata risolta in tutte le versioni di Android. La società di sicurezza sta chiamando la vulnerabilità “StrandHogg”, un vecchio termine norreno per la tattica vichinga di saccheggiare le aree costiere per saccheggiare e trattenere le persone per riscatto.

I rappresentanti di Google non hanno risposto alle domande su quando il difetto verrà corretto, quante app di Google Play sono state catturate sfruttandolo o quanti utenti finali sono stati interessati. I rappresentanti hanno scritto solo:

“Apprezziamo il lavoro dei ricercatori […] e abbiamo sospeso le app potenzialmente dannose che hanno identificato. Google Play Protect rileva e blocca le app dannose, comprese quelle che utilizzano questa tecnica. Inoltre, continuiamo a indagare per migliorare Google Play Protect capacità di proteggere gli utenti da problemi simili.”