Xenomorph: il nuovo trojan bancario per Android è già stato installato 50.000 volte

Avatar di Umberto Stentella

a cura di Umberto Stentella

Un team di ricercatori informatici ha individuato un nuovo trojan per Android. Si chiama Xenomorph ed è progettato per svuotare i conti corrente della vittima — in gergo si parla non a caso di malware bancario. Il trojan è stato diffuso attraverso una serie di app malevole distribuite sul Play Store di Google, ed è già stato scaricato oltre 50.000 volte. A lanciare l’allarme è l’azienda specializzata in sicurezza informatica ThreatFabric.

Xenomorph è stato soprannominato in questo modo in onore degli alieni letali del celebre horror Sci-Fi di Ridley Scott. La scelta del nome non è casuale: per quanto funzioni in modo molto diverso, il trojan riprende concettualmente molte delle funzioni di Alien, un altro trojan bancario già noto alla comunità di esperti. Due le ipotesi: o Xenomorph è stato creato dagli stessi autori di Alien, o è stato creato da un attore malevolo che disponeva di una conoscenza approfondita del codice sorgente del precedente malware.

Xenomorph prende di mira le app e i servizi di 56 specifiche banche europee, inclusi 12 istituti italiani. Proprio l'Italia è il secondo bersaglio privilegiato del trojan, subito dopo la Spagna.

Il problema dei malware su Play Store

Gira e rigira, ci troviamo davanti all’ennesimo inciampo di Google, che fa ancora fatica a mantenere pulito il suo store ufficiale. Xenomorph si è diffuso proprio grazie ad alcune app malevoli distribuite sul Google Play Store, e questo significa che qualcosa non è andato per il verso giusto in sede dei controlli che anticipano la release di ogni app sul marketplace.

Certo, Xenomorph è stato scaricato da un numero relativamente esiguo di utenti - 50.000 -, ma solamente recentemente i ricercatori informatici hanno individuato e denunciato casi ancora più eclatanti. Lo scorso novembre sempre ThreatFabric aveva segnalato la presenza di un malware - Anatsa - scaricato da oltre 300.000 utenti. Era nascosto in un manipolo di app disponibili sul Play Store e all’apparenza legittime, incluso un lettore per i QR Code. Ancora più recentemente era stato il turno di Joker, un malware distribuito sempre attraverso un numero rilevante di app malevole che erano riuscite a superare i controlli di Google (ma anche dell'AppGallery di Huawei).

Tra le app malevoli distribuite sul Play Store e responsabili dell'avanzata di Xenomorph, i ricercatori di ThreatFabric segnalano 'Fast Cleaner', un'app che prometteva agli utenti una serie di funzioni per rimuovere i file spazzatura e velocizzare lo smartphone. L'app faceva effettivamente quanto previsto dalla descrizione, peccato che faceva anche altro. Nella fattispecie, era quello che in gergo si chiama un 'dropper', ossia un programma all'apparenza legittimo ma in realtà programmato per installare sul device della vittima uno o più file malevoli.

Xenomorph è ancora in una fase embrionale, eppure fa già paura

I ricercatori informatici hanno scoperto Xenomorph proprio mentre indagavano su una famiglia di dropper - particolarmente prolifica sul marketplace di Google - nota con il nome Gymdrop. La stessa già dietro alla diffusione del trojan Alien. Ed è stato solamente studiando i server del dropper che si sono accorti della presenza di ben due altri malware, incluso l'inedito Xenomorph.

Studiando il codice del malware, i ricercatori di ThreatFabric si sono accorti che Xenomorph dispone di moltissime funzioni d'attacco non ancora implementate ufficialmente nel trojan. Sono ancora dormienti. Tradotto: il malware con ogni probabilità è ancora in una fase di sviluppo embrionale. Xenomorph è in grado di rubare le credenziali d'accesso dei conti corrente, riuscendo anche ad intercettare e rubare gli SMS di notifica o altri strumenti utilizzati per l'autenticazione a due fattori.

In questo modo i criminali riescono non solo ad accedere all'account bancario della vittima, ma anche ad effettuare operazioni non autorizzate. La vittima non sospetta nulla finché non è troppo tardi. Vale la pena di sottolineare nuovamente che Xenomorph prende specificatamente di mira gli utenti italiani. È progettato per sottrarre le credenziali delle seguenti banche: Intesa Sanpaolo Mobile, YouApp, Banca Sella, MyCartaBCC, BNL, Carige Mobile, Banca MPS, Bancaperta, UBI Banca, SCRIGNOapp, BancoPosta e Postepay.

Ottimo rapporto prezzo-prestazioni, ora con uno sconto imperdibile del 34%. Scopri Oppo Find X3 Lite, ora in promozione su Amazon.