{"id":37634,"date":"2019-01-09T11:35:29","date_gmt":"2019-01-09T10:35:29","guid":{"rendered":"http:\/\/www.area-press.eu\/comunicatistampa\/?p=37634"},"modified":"2019-01-09T11:35:29","modified_gmt":"2019-01-09T10:35:29","slug":"il-trojan-per-android-spy-banker-ruba-soldi-dal-conto-paypal","status":"publish","type":"post","link":"https:\/\/www.area-press.eu\/comunicatistampa\/2019\/01\/09\/il-trojan-per-android-spy-banker-ruba-soldi-dal-conto-paypal\/","title":{"rendered":"Il trojan per Android Spy.Banker ruba soldi dal conto Paypal"},"content":{"rendered":"<p>I ricercatori di <strong>ESET<\/strong> <a href=\"https:\/\/www.welivesecurity.com\/2018\/12\/11\/android-trojan-steals-money-paypal-accounts-2fa\/\">hanno scoperto un trojan per Android<\/a> che <strong>si insinua all\u2019interno dell\u2019app ufficiale di Paypal<\/strong> per rubare soldi alla vittima, <strong>effettuando un pagamento direttamente all\u2019indirizzo Paypal dell\u2019hacker<\/strong>.<\/p>\n<p>Il malware fa finta di essere un\u2019innocua app per <strong>l\u2019ottimizzazione della batteria dello smartphone<\/strong>, come ve ne sono tante, ma una volta lanciata chiude subito la schermata \u2013 come se fosse difettosa \u2013 e nasconde l\u2019icona dal telefono. Per gli utenti meno esperti \u00e8 come se l\u2019app si fosse disinstallata da sola.<\/p>\n<p>In realt\u00e0 il trojan \u00e8 ancora in esecuzione, cerca sul telefono la presenza dell\u2019app ufficiale di <strong>Paypal<\/strong> e \u2013 se presente \u2013 mostra una schermata di alert chiedendo all\u2019utente di aprirla. Una volta che l\u2019utente ha lanciato l\u2019app di Paypal, <strong>il malware mostra una schermata con un messaggio fuorviante<\/strong> che chiede all\u2019utente di \u201c<strong>abilitare le statistiche<\/strong>\u201c.<\/p>\n<p>In realt\u00e0 facendo clic su \u201cok\u201d l\u2019utente <strong>consente al trojan di operare sull\u2019app di Paypal<\/strong>. Il malware prende cos\u00ec per pochi secondi il controllo dell\u2019account Paypal dell\u2019utente, <strong>inviando 1000 Euro all\u2019indirizzo Paypal dell\u2019hacker<\/strong> (la valuta dipende dall\u2019ubicazione della vittima).<\/p>\n<p>Tutta l\u2019operazione dura a malapena <strong>5 secondi<\/strong>, e non vi \u00e8 modo per l\u2019utente di fermare il processo. Da notare che poich\u00e9 il malware prende il controllo dell\u2019app di Paypal dopo che l\u2019utente ha effettuato il login, questa truffa funziona <strong>anche se la protezione a due fattori \u00e8 attiva<\/strong>.<\/p>\n<p><u>Il ricercatore <strong>Lukas Stefanko<\/strong> ha pubblicato un video dove mostra tutta l\u2019operazione. (<a href=\"https:\/\/www.youtube.com\/watch?v=yn04eLoivX8\">https:\/\/www.youtube.com\/watch?v=yn04eLoivX8<\/a>).<\/u><\/p>\n<p>L\u2019attacco avviene <strong>ogni volta che l\u2019utente apre l\u2019app di Paypal<\/strong>, ci\u00f2 significa che il furto potrebbe ripetersi pi\u00f9 e pi\u00f9 volte, fino a che l\u2019utente non rimuove il trojan o non blocca il suo conto Paypal. Il furto fallisce solo se l\u2019utente non ha abbastanza soldi sul suo conto e se non vi \u00e8 alcuna carta di credito collegata. Ma vi \u00e8 anche un\u2019ulteriore funzione del trojan, che gli consente di <strong>rubare i dati della carta di credito dell\u2019utente<\/strong> mostrando delle schermate in <strong>overlay<\/strong> per cinque applicazioni: <strong>Google Play<\/strong>, <strong>WhatsApp<\/strong>, <strong>Skype<\/strong>, <strong>Viber<\/strong> e <strong>Gmail<\/strong>. In questo caso attraverso le finte schermate il trojan ruba i dati della carta di credito che l\u2019utente crede di stare inserendo all\u2019interno delle suddette app, oppure i dati di login a Gmail. Simili schermate di overlay sono usate dal malware anche su <strong>diverse app bancarie<\/strong> per <strong>rubare le credenziali di accesso<\/strong> agli account di internet banking.<\/p>\n<p>L\u2019unica nota positiva \u00e8 che questo particolare trojan <strong>non si trova sul marketplace ufficiale<\/strong> di Android, <strong>Google Play<\/strong>, ma su <strong>marketplace di terze parti<\/strong>. I ricercatori ESET tuttavia hanno trovato un altro trojan su Google Play (ora rimosso) che <strong>operava in maniera simile<\/strong> e prendeva di mira gli utenti brasiliani, <strong>insinuandosi all\u2019interno di alcune app bancarie<\/strong> usate in <strong>Brasile<\/strong>.<\/p>\n<h4>Come proteggersi?<\/h4>\n<p>Bisogna adottare <strong>misure preventive<\/strong> e controlli ex-post.<\/p>\n<p>Anzitutto limitarsi a <strong>installare app solo da Google Play<\/strong>, perch\u00e9 anche se il marketplace di Google non \u00e8 estraneo ad app malevole, dopo che queste vengono segnalate generalmente sono rimosse in breve tempo. Nei marketplace di terze parti non sempre questo avviene. Inoltre sarebbe sempre bene <strong>controllare i voti e i commenti degli utenti<\/strong>, molte app malevole di solito hanno voti bassi e pi\u00f9 di un utente commenta la presenza di truffe o di situazioni non esattamente pulite.<\/p>\n<p>I controlli a posteriori vanno fatti su <strong>ogni transazione<\/strong>, sia di carta di credito, sia Paypal, credito telefonico o criptovalute, attivandosi immediatamente se si nota un\u2019attivit\u00e0 sospetta.<\/p>\n<p>Infine \u00e8 sempre consigliabile dotarsi di un prodotto <strong>antimalware<\/strong> anche per <strong>smartphone<\/strong>. ESET individua questi malware con i nomi <strong>Android\/Spy.Banker.AJZ<\/strong> e <strong>Android\/Spy.Banker.AKB<\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>I ricercatori di ESET hanno scoperto un trojan per Android che si insinua all\u2019interno dell\u2019app ufficiale di Paypal per rubare soldi alla vittima, effettuando un pagamento direttamente all\u2019indirizzo Paypal dell\u2019hacker. Il malware fa finta di essere un\u2019innocua app per l\u2019ottimizzazione della batteria dello smartphone, come ve ne sono tante, ma una volta lanciata chiude subito [&hellip;]<\/p>\n","protected":false},"author":4630,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[29],"tags":[],"class_list":["post-37634","post","type-post","status-publish","format-standard","hentry","category-comunicati"],"_links":{"self":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/37634","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/users\/4630"}],"replies":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/comments?post=37634"}],"version-history":[{"count":1,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/37634\/revisions"}],"predecessor-version":[{"id":37635,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/37634\/revisions\/37635"}],"wp:attachment":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/media?parent=37634"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/categories?post=37634"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/tags?post=37634"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}