Avast e Trend Micro, due aziende di sicurezza informatica, hanno scoperto un nuovo malware un grado di rubare le credenziali di accesso a Facebook. Soprannominato «GhostTeam» è presente all’interno di 56 applicazioni reperibi su Google Play Store.

Queste app nocive per Android hanno l’aspetto di programmi di utilità che promettono di potenziare il funzionamento dei telefonini ripulilendoli, scansionare codici QR, facilitare la gestione di video, eccetera, ma in realtà rappresentano un pericolo per gli utilizzatori.

Una volta scaricati chiedono alla vittima l’accesso alle opzioni di amministratore del dispositivo in modo tale che «la app raccolga informazioni sul dispositivo, come il suo identificativo, l’Id, la posizione, la lingua e i parametri di visualizzazione».

I malware, o software malevoli, sono una famiglia di virus che non contengono necessariamente codice dannoso ed è per questo che le app sono riuscite a passare indenni dai controlli della piattaforma di distribuzione software di Google.

Poco male, si potrebbe dire, ma non appena gli utenti aprono la loro app di Facebook sul telefonino, il malware li invita a verificare nuovamente il proprio account accedendo al proprio profilo social.

Ma la pagina a cui si viene rediretti non è quella ufficiale di accesso a Facebook. Attraverso un codice particolare, (WebView) il codice ruba il nome utente e la password di Facebook della vittima e li invia a un server controllato da malintenzionati in via remota.

I ricercatori di Trend Micro avvertono che queste credenziali rubate di Facebook possono in seguito essere riproposte per fornire «malware molto più dannosi» o «accumulare un esercito di zombie sui social media» per diffondere notizie false o generare malware di criptovaluta.

Gli «zombie» sono in gergo i computer controllati da terzi all’insaputa dell’utilizzatore e possono «essere risvegliati» per effettuare attacchi su siti e servizi Internet, come i DDoS, i «Distributed Denial of Service», che fanno collassare i servizi colpiti per le troppe richieste contemporanee di accesso.

Gli account di Facebook rubati possono anche esporre «una ricchezza di altre informazioni finanziarie e di identificazione personale» che possono poi essere vendute nel Dark Web, quella porzione del web non indicizzata dai comuni motori di ricerca e composta di siti accessibili solo con software specifici e dunque più difficili da individuare.

Le due società di sicurezza informatica ritengono che GhostTeam sia stato sviluppato e caricato sul Play Store da uno sviluppatore vietnamita a causa dell’uso considerevole della lingua vietnamita presente nel codice. Secondo i ricercatori, la maggior parte degli utenti colpiti dal malware GhostTeam risiede in India, Indonesia, Brasile, Vietnam e Filippine.

Le nazioni più colpite da GhostTeam
Le nazioni più colpite da GhostTeam

Oltre a rubare le credenziali di Facebook, il malware GhostTeam visualizza anche annunci pop-up in modo aggressivo mantenendo sempre attivo il dispositivo infetto mostrando annunci indesiderati in background.

Le app maligne sono state rimosse da Google dal proprio Play Store ma gli utenti che hanno già installato una di tali app sui propri dispositivi devono assicurarsi di avere attivato Google Play Protect che utilizza l’apprendimento automatico e l’analisi dell’utilizzo delle app per disinstallare quelle dannose.

Insomma, anche qui il modo migliore per proteggersi è essere attenti a scaricare app anche dai siti ufficiali e verificare le recensioni prima di farlo, sapendo che non guasta avere un buon antivirus anche sul proprio telefonino.

Con la rubrica di oggi, Arturo Di Corinto (bentornato su queste pagine) ci accompagnerà ogni giovedì provando a «districare» i tanti nodi della Rete.