01 giugno 2023 0 392

Trojan Facestealer Integrato in App per Android su Google Play Store Ruba Oltre 100.000 Credenziali Facebook

Gli utenti Android non dovrebbero installare app di sviluppatori sconosciuti. Ricerche condotte dalla compagnia di sicurezza mobile Pradeo, di recente hanno evidenziato la presenza di uno spyware in forma di "Facestealer" in un’app chiamata Craftsart Cartoon Photo Tool che si poteva scaricare da Google Play Store e che è riuscita a prendere di mira migliaia di bersagli su Android.

Il Facestealer (ladro di dati) è stato usato per rubare le credenziali Facebook con un meccanismo di social engineering (ingegneria sociale). Grazie allo spyware, i truffatori sono riusciti a ottenere pieno controllo degli account Facebook delle vittime. Hanno così ottenuto accesso a tutti i dati collegati ai profili, comprese le informazioni delle carte di credito, conversazioni, ricerche e così via. Di seguito sono riassunte tutte le informazioni a cui hanno avuto accesso una volta violati gli account.

Clicca qui per sapere a quali informazioni hanno avuto accesso e hanno potuto scaricare.

La buona notizia è che Google ha rimosso l’app dallo store il 22 marzo.

In Che Modo Google e Utenti Sono Stati Ingannati

I truffatori sono stati in grado di camuffare il malware all’interno dell’app su mobile che poi è stata distribuita su Google Play e altri store. Sono stati in grado di realizzare un’app che imitasse perfettamente altre app legittime di foto-editing per raggiungere un ampio pubblico. Questa strategia ha permesso di portare a termine il loro obiettivo criminale e ingannare molti utenti. In pratica, sono stati in grado di nascondere un piccolo pezzo di codice che non è stato intercettato dal sistema di verifica degli store e così hanno messo a segno il loro piano.

Il Malware ha Rubato le Credenziali degli Account Facebook

Appena installata l’app e avviata, si apriva una pagina di login su Facebook. Quindi gli  utenti erano spinti ad accedere a Facebook per usare l’app, altrimenti non avrebbero potuto accedere.

Però, al momento dell’accesso, tutte le informazioni (username e password) venivano inviate agli hacker.

Frode Finanziaria

Le credenziali Facebook rubate sono state usate in modi diversi, dai più comuni per l’invio di link di phishing, diffondere fake news, fino alle frodi finanziarie. In questo caso, i cybercriminali hanno ottenuto accesso alle carte di credito delle vittime e hanno rubato il loro denaro.

Collegamento a Domini Registrati in Russia

Gli esperti di sicurezza hanno scoperto che Craftsart Cartoon Photo Tools rimandava a un dominio registrato in Russia, a sua volta attivo da 7 anni a intermittenza, collegato a diverse app per smartphone dannose, disponibili su Google Play e poi rimosse. Si tratta di una procedura comune, gli hacker rimodellano le loro app per convincere le vittime a scaricarle e così mantenere la propria presenza su Google Play. Di solito, il processo di rimodellazione delle app avviene in maniera automatica così per i truffatori è facile ripresentarsi sulla piattaforma ogni volta che Google Play Store identifica e rimuove le app malevoli.

Come Cancellare Questa App Pericolosa

La buona notizia è che questa app è unica nel suo genere, non ci sono altre app con questo nome su Google Play Store. Ecco perché identificare e rimuovere Craftsart Cartoon Photo Tools dal tuo telefono è molto semplice.

Per cancellare Craftsart Cartoon Photo Tools dal tuo dispositivo Android vai su Impostazioni > App > Gestisci App, vai su Craftsart Cartoon Photo Tools, fai tap sull’icona e quindi su Disinstalla.

Torna su Impostazioni e verifica gli aggiornamenti di sicurezza sul tuo telefono. Impostazioni > Sistema > Aggiorna Sistema.

Installa un buon antivirus per Android per assicurarti che non ti succeda più niente di grave. Dovresti sempre scaricare le tue app da Google Play perché, anche se non è del tutto sicuro, è di certo migliore di molti app store illegali o non riconosciuti in cui è ancora possibile trovare Craftsart Cartoon Photo Tools.

Vai su Google Play Store e attiva Google Play Protect. Google Play Store > Profilo > Play Protect > Impostazioni > Attiva Analizza le app con Play Protect.

Torna alle Impostazioni per aggiornare di nuovo il telefono. Impostazioni > Sistema > Aggiorna sistema.

Ogni volta che hai il dubbio di aver scaricato un’app pericolosa e l’hai cancellata, una buona regola è cambiare le password dei tuoi social, in questo caso di Facebook. Inoltre devi scollegarti da tutti i dispositivi a cui è collegato il tuo account, solo così puoi tagliare fuori i criminali definitivamente.

Non dimenticare di fare un check di sicurezza sul tuo dispositivo. Apri il browser sul tuo telefono e vai su Google Security Checkup. Segui i passaggi indicati per completare una più accurata verifica di sicurezza sul tuo dispositivo.

Quindi, assicurati di leggere sempre le recensioni degli altri utenti prima di scaricare un’app. Alcuni utenti hanno scritto recensioni con una sola stella e messo in guardia gli altri dai pericoli nascosti in questa truffa. Ecco uno screenshot.

Un altro metodo usato dagli hacker per violare gli account degli utenti Android è quello che gli esperti di cyber sicurezza definiscono tapjacking.

Tapjacking

Tapjacking, come suggerisce il nome, è una combinazione tra "tap" e "jacking", cioè permette ai criminali di controllare cosa si digita (tap) sui propri telefoni o tablet. Si tratta di uno tra i più pericolosi attacchi su Android dato che non ha bisogno di alcun tipo di autorizzazione, strumenti esterni o directory.

Senza darti nemmeno il tempo di rendertene conto o intervenire, appare una semplice e innocua notifica sullo schermo. La caratteristica di questo tipo di app è di non dare nessun segnale critico all’utente che di solito non ha idea di cosa stia succedendo al proprio telefono né di interagire in alcun modo con l’app (perché non c’è modo di farlo). Non si può nemmeno fare in modo che questa notifica rimanga sul telefono che così come compare, scopare all’istante.

C’è un particolare meccanismo che permette di attivare il Tapjacking, noto come overlay dello schermo.

Overlay Schermo

Un overlay schermo è una funzione tipica delle app che si sovrappongono ad altre app, è il caso dell’estensione per le chat come Facebook Messenger. Potresti ricevere una notifica d’errore se un’app sta bloccando una porzione di schermo di un’altra app. Quindi puoi semplicemente disattivarne una. Oppure, quando avvii un’app per la prima volta, potresti dover consentire l’accesso alle cartelle del tuo telefono.

Insomma, l’overlay schermo è proprio questa finestra di dialogo che compare quando serve, offuscando il resto dello schermo mentre ti permette di concentrarti sulla notifica. L’overlay dello schermo è in definitiva una funzione molto utile, non a caso è il sistema usato per permetterti di chattare quando sei su Facebook Messenger.

Il vero problema è che gli hacker si servono di questa funzione per violare i dispositivi.

Tapjacking Grazie all’Overlay Schermo

L’aspetto più importante di tutta la questione è che non si dovrebbe attivare nessun tipo di overlay schermo mentre stai concedendo un'autorizzazione critica a un'app. Utilizziamo il condizionale “dovrebbe” perché di fatto il sistema di sicurezza legato a questo tipo di impostazione, al momento è gravemente impreciso. In teoria, quando si attiva l’overlay, il sistema di sicurezza del tuo telefono dovrebbe impedirti di interagire con la parte oscurata dello schermo.

Perché ci interessano questi aspetti tecnici? Perché quando l’overlay schermo è attivato può leggere tutto quello che viene digitato, qualsiasi informazione viene trasferita all’attività sottostante, come le password, le informazioni bancarie e altre informazioni private. Il che non è affatto piacevole se è collegata a un’estensione malevola.

In Che Modo un Hacker Può Creare Un Overlay Malevolo

Ecco dove entra in scena la notifica di cui parlavamo prima. Di solito si tratta di una piccola notifica in forma di popup che appare e scompare immediatamente. In altri casi può anche essere di dimensioni maggiori e comprendere delle immagini. Quanto può durare? Un hacker bravo può generare l’illusione di permanenza usando l’Android Timer installato nel telefono. Allo scadere del tempo, la notifica scompare e il lavoro è bell’e fatto. Il messaggio può essere usato per un gran numero di scopi, monitorare i tocchi sullo schermo o suggerire false password all’utente.

Appare chiaro quindi perché è così difficile identificare l’attacco tapjacking dato che è così discreto.

Come Evitare Un Attacco Tapjacking su Android

Il tapjacking è facile da evitare se ci pensi bene. Va tutto bene fin tanto che il tuo dispositivo Android non permette di raccogliere informazioni quando è attivo l’overlay. Questa misura di sicurezza però in Android 4.0.3 e nelle versioni precedenti era disabilitata di default, vulnerabilità che ha reso queste versioni le peggiori nella storia del sistema operativo. L’errore è stato poi risolto e le versioni successive, a partire dalla 6, si sono rivelate migliori. Però, non si sa bene perché gli sviluppatori di Google hanno deciso di disabilitare di nuovo questa opzione con la versione 6.0.1, cosa che ha comportato la manomissione di tanti dati utente. Uno dei motivi per cui Google potrebbe aver optato per questa soluzione è liberare gli utenti dalla scocciatura di dover continuamente abilitare o disabilitare questa impostazione, ma questa scelta ha avuto un costo più alto del previsto.

Android 12 permette agli sviluppatori di chiudere il tipo di finestre definito TYPE_APPLICATION_OVERLAY per maggiore sicurezza. Dopo aver richiesto il permesso per HIDE_OVERLAY_WINDOWS, quando si apre una finestra che contiene dati sensibili, la finestra in overlay si richiude grazie a questo particolare codice:

Cosa Bisogna Fare?

È sufficiente andare nella sezione delle impostazioni che gestisce l’overlay schermo. Si può chiamare "Visualizzazione app in primo piano" o "App in primo piano". Se hai dubbi fai una veloce ricerca su Google cercando “Apps that can appear on top" o "Apps that can draw over other apps" e il tuo modello di smartphone, per trovare l’esatto percorso.

Gli sviluppatori dovrebbero semplificare la vita degli utenti ed essere certi che questi elementi siano impostati correttamente: accertarsi che le impostazioni di filterTouchesWhenObscured siano attivate, o che il metodo onFilterTouchEventForSecurity() sia previsto dall’app.

Conclusioni

App pericolose come Facestealer possono essere facilmente evitate, basta leggere con attenzione le recensioni degli altri prima di scaricare un’app da Play Store o Apple Store. Non avere fretta di scaricare app prima d’aver letto e riletto le recensioni. Prevenire è sempre meglio che curare.

Inoltre, se non sei uno sviluppatore addetto alla sicurezza con anni di esperienza, evita di scaricare nuove app. Lascia tempo agli altri di fare le loro verifiche e lasciare le proprie recensioni così da fare sempre la scelta più saggia. Attenzione anche alle false recensioni che molti hacker pubblicano per ingannare i più distratti, serve solo un po’ di pazienza per leggere le recensioni e scoprire se sono vere o false.

Vogliamo anche chiarire che evitare attacchi di tipo tapjacking non è una scienza esatta. Il successo delle truffe tapjacking sta tutto nell’incuria di Google e degli sviluppatori di app, e nella mancanza di attenzione degli stessi utenti. Puoi facilmente evitare questo tipo di problema ora che sai di cosa si tratta.

Come ti sembra questo articolo?