Il bug consente agli aggressori di creare schermate di accesso false che possono essere inserite in app legittime per raccogliere dati.
Più di 60 istituti finanziari sono stati presi di mira dalla tecnica, ha indicato un sondaggio del Play Store.
Google ha affermato di aver preso provvedimenti per colmare la scappatoia ed era desideroso di scoprire di più sulle sue origini.
"Ha preso di mira diverse banche in diversi paesi e il malware ha sfruttato con successo gli utenti finali per rubare denaro", ha dichiarato Tom Hansen, Chief Technology Officer della società norvegese di sicurezza mobile Promon, che ha riscontrato il bug.
Minaccia in agguato
Il problema è emerso dopo che Promon ha analizzato le app dannose individuate svuotando i conti bancari.
Chiamata Strandhogg, la vulnerabilità può essere utilizzata per indurre gli utenti a pensare di utilizzare un'app legittima ma in realtà stanno facendo clic su un overlay creato dagli aggressori.
"Non avevamo mai visto questo comportamento prima", ha dichiarato Hansen.
"Man mano che il sistema operativo diventa più complesso, è difficile tenere traccia di tutte le sue interazioni", ha affermato. "Questo sembra il tipo di cosa che si perde in quella complessità."
Promon ha collaborato con la società di sicurezza americana Lookout per scansionare le app nel Play Store di Android per vedere se qualcuno fosse stato abusato dal bug Strandhogg.
Hanno scoperto che 60 istituti finanziari separati venivano presi di mira tramite app che cercavano di sfruttare la scappatoia. Lookout ha affermato che i criminali hanno utilizzato varianti di una nota app di furto di denaro nota come bankbot.
In una dichiarazione, Google ha dichiarato: "Apprezziamo il lavoro dei ricercatori e abbiamo sospeso le app potenzialmente dannose che hanno identificato".
Ha aggiunto: "Inoltre, stiamo continuando a indagare per migliorare la capacità di Google Play Protect di proteggere gli utenti da problemi simili".
Il responsabile della tecnologia di Promon ha accolto con favore la risposta di Google, poiché ha affermato che molte altre app erano potenzialmente sfruttabili tramite il bug di spoofing. Ma ha notato che era ancora possibile creare schermate di sovrapposizione false in Android 10 e versioni precedenti del sistema operativo.
-------------------------
L'originale di questo articolo è stato pubblicato su bbc.com
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
