Attento! ESET scopre nuove app dannose che simulano negozi e rubano dati bancari.
La divisione cybersecurity di ESET, leader nel rilevamento proattivo delle minacce, ha recentemente scoperto tre applicazioni dannose utilizzate per infettare i dispositivi e sottrarre informazioni riservate alle vittime, in particolare credenziali bancarie come numeri di conto e password per i clienti di otto banche malesi.
Nonostante la scoperta sia limitata al paese asiatico, gli esperti dell’azienda non escludono la possibilità che le truffe vengano replicate in tutto il mondo e danneggino migliaia di persone in diverse regioni, poiché è comune che virus, malware o trojan si adattino a determinati segmenti di pubblico di destinazione.
Come rivelato da ESET, i criminali informatici stanno utilizzando la tecnica del phishing (fishing) per simulare vere pagine bancarie e indurre i visitatori a inserire le proprie informazioni sul sito web fraudolento, una truffa che è una delle più utilizzate in tutto il mondo e fa centinaia di vittime ogni giorno, anche in Italia.
Secondo il rapporto, questa pratica è stata scoperta per la prima volta nel dicembre 2021 ed è stata ampiamente diffusa attraverso gli annunci sui social media. Oltre a siti web falsi, i truffatori creano anche annunci allettanti per convincere le vittime a installare app infettate da malware su Android.
In alcuni casi, siti web/app false simulano negozi virtuali con promozioni vistose che incoraggiano l’utente ad accedere con il proprio account e inserire i dettagli della carta di credito o del conto bancario per effettuare il pagamento dell’ordine, ma a differenza delle piattaforme reali, la pagina di pagamento è falsa e invia i dati al criminale.
Secondo i ricercatori, il malware sviluppato e nascosto nelle app dannose è piuttosto minimalista e richiede solo l’autorizzazione per accedere agli SMS ricevuti sul dispositivo, ma c’è un problema, l’installazione dell’app avviene al di fuori del Play Store e richiede l’autorizzazione da “fonti sconosciute”, è abilitato nelle impostazioni dello smartphone.
Linee guida per una maggiore sicurezza
- Assicurati che il sito sia sicuro, ad es. il tuo URL inizia con https://. Alcuni browser potrebbero persino rifiutarsi di aprire siti web non HTTPS e avvisare esplicitamente gli utenti o fornire un’opzione per abilitare la modalità solo HTTPS.
- Fai attenzione quando fai clic sugli annunci e non fare clic sui risultati sponsorizzati forniti dai motori di ricerca in quanto potrebbero non portare al sito web ufficiale.
- Quando sei su dispositivo mobile, presta attenzione all’origine delle app che stai scaricando. Assicurati di essere reindirizzato al Google Play Store per ottenere un’app.
- Quando possibile, utilizza Google Authenticator o opzioni simili per la verifica in due passaggi. Evita gli SMS.
- Utilizza una soluzione di sicurezza mobile per rilevare siti web pericolosi e app dannose.
Usi un antivirus sul tuo smartphone? Sai come proteggerti dalle truffe? Raccontaci tutto nei commenti!