Un ricercatore di Evina ha scoperto un’app che creava account su diverse piattaforme che potevano poi essere usati in maniera fraudolenta.
Scaricata oltre centomila volte dal Google Play Store, Symoo (questo il nome dell’app incriminata) si presentava come un sistema comodo e veloce per inviare SMS. Ed in parte era quello che faceva. La parte più sostanziosa del suo “lavoro” era però un’altra.
Maxime Ingrao, questo il nome del ricercatore, ha infatti reso noto su Twitter che, senza che gli utenti ne venissero informati, Symoo sfruttava lo smartphone di turno per creare account del tutto funzionanti su numerose piattaforme.
Come agisse Symoo è presto detto. In fase di installazione l’app chiedeva l’autorizzazione per inviare SMS. Autorizzazione che, in virtù della tipologia di applicazione, veniva regolarmente concessa. Venivano poi chiesto di inserire il numero di telefono dell’utente, così da poter configurare a dovere l’app. Tuttavia questa fase di “setup” veniva artificiosamente prolungata in modo da permettere al malware da sfruttare il cellulare per inviare SMS necessari ad “aggirare” i sistemi di autenticazione a due fattori dei diversi servizi.
Meglio, questi sistemi venivano effettivamente soddisfatti e i vari account creati in maniera regolare, ma lasciando i proprietari degli smartphone completamente ignari della cosa. Inoltre l’app era concepita per non funzionare: di conseguenza gli utenti la disinstallano dopo poco tempo, eliminando così il malware dal proprio device e cancellando ogni traccia dello stesso.
Ovviamente cancellando Symoo non venivano cancellati gli account creati in giro per il mondo. Account che di fatto risultavano non solo attivi a tutti gli effetti ma anche collegati alle ignare vittime e che potevano essere usati (o venduti) in totale segretezza dai creatori del malware per qualsiasi tipo di attività, legale o meno che fosse.
Come se non bastasse, Symoo non si fermava qui. Oltre all’attività sopra esposta questa app utilizzava i dati sottratti per inviarli ad un’altra app (ActivationPW - Virtual numbers, già rimossa da Google Store) che permetteva a chiunque di affittare, dietro modico pagamento, un qualsiasi numero di telefono trafugato per “illudere” i sistemi di verifica degli account che tutto venisse fatto correttamente.
Allo stato attuale delle cose non è noto (e forse non lo sarà mai) quanti siano gli account creati in questa maniera e quali potranno esere le ripercussioni sulle ignare vittime di questa "truffa". Mentre vi scriviamo, Google non ha rilasciato alcuna dichiarazione ufficiale sulla questione: vi aggiorneremo non appena ci saranno novità