Ormai esiste un’app per quasi ogni nostra necessità e quando ne abbiamo bisogno, non facciamo altro che andare sul Play Store di Google o sull’App Store di Apple a seconda se disponiamo di uno smartphone con sistema operativo android o Apple.
Praticamente dei bancomat, spesso gratuiti, di software per ogni nostra reale esigenza o meno. Tuttavia, bisognerebbe sempre partire da un concetto di fondo: tutto ciò che ci sembra gratuito o che non ci sembra chiedere nulla in cambio, non lo è quasi mai.
Creare un’app che legga un file pdf, che ci trastulli con un game o più semplicemente calcoli solo le fasi lunari, richiede specifiche conoscenze dei principali linguaggi di programmazione, con ore trascorse davanti ad un monitor per scrivere e compilare correttamente il software.
Quindi, perché mai tutta questa mole di lavoro non dovrebbe, apparentemente, avere un prezzo?
Ed ecco spiegato il motivo della presenza dei banner pubblicitari durante l’uso dell’app gratuita appena scaricata che, sia pur infastidendoci, palesano invece la reale modalità con la quale tentano di introitare. Ed è giusto che sia così.
Il problema sorge quando l’app, gentilmente e gratuitamente scaricata dallo store, non esige null’altro che essere usata: questo è quasi sempre il primo campanello d’allarme che dovrebbe indurci a riflettere sulle vere intenzioni di chi ha progettato quel software.
E qui si entra nel campo anche dei c.d. “dropper”, programmi che oltre ad eseguire quelle attività per le quali li abbiamo cercati e scaricati, nascondono al loro interno righe di codice malevolo in grado di creare una sorta di ponte verso un vero e proprio trojan, il quale si attiverà senza destare sospetti da parte dell’ignaro utilizzatore, semplicemente richiedendo un consueto e sempre plausibile aggiornamento.
Questi malware, nelle loro varianti, sono conosciuti con i nomi di Brokewell, Antidot, Anatsa, Zeus e tanti altri.
La tecnica è semplice quanto banale, tanto da essere paragonabile all’aneddoto dell’uovo di Colombo: dato che gli store verificano sempre l’attendibilità del software, le righe di codice malevolo di tipo dropper, vengono nascoste e rese silenti, modificando quello che, in parole povere, potrebbe essere inteso come l’indice di un libro che non menziona mai il capitolo da nascondere; solo in un secondo momento, quando l’app ci chiederà un aggiornamento, il dropper si attiverà, scaricando da un server canaglia – anzichè dallo store ufficiale – , un graduale payload di istruzioni camuffato da innocuo aggiornamento dell’applicazione e inizierà a dialogare con tutti meno che con il legittimo proprietario!
Una bella schermata, simile a quella dello store di riferimento, farà cadere ogni nostro dubbio sulla bontà dell’aggiornamento in corso…
E la frittata è fatta, o meglio, solo il primo passo per sottrarre password, codici bancari, pin e quant’altro utili a farci spennare.
Da quell’istante in poi, l’innocuo lettore pdf, si trasformerà nello strumento che consentirà al malintenzionato di turno di prendere il controllo del vostro smartphone, dovendo solo attendere, ad esempio, l’avvio dell’app di home banking che rappresenta, quasi sempre, il vero target point di tutta l’operazione.
Nel frattempo, con calma e senza impegnare troppo le risorse di sistema per non destare sospetti, si fa ingegneria sociale, catturando tutti i possibili dati personali del malcapitato, utilissimi per le successive fasi dell’attacco che si concretizzeranno con l’avvio, per l’appunto, della nostra app bancaria, la quale opporrà solo un ultimo ostacolo: un pin o una password asteriscati, che abbiamo “lasciato lì” per non avere la scocciatura di ricordarceli, ma che non possono essere facilmente decrittati.
E qui scatta la fase finale, con la chiamata al vostro smartphone da un numero che è proprio quello della vostra amata banca. Ma questa è un’altra storia…
