Cepkutusu.com re-indirizzava in automatico gli utenti a un sito web con il malware installer

Cepkutusu.com, l’alternativa turca al Google Play Store per le APP su Android, in realtà diffondeva un trojan bancario. Lo hanno scoperto i ricercatori di ESET. Gli specialisti di cyber security hanno rilevato che quando un utente cercava di scaricare una qualsiasi applicazione dalla piattaforma, in automatico veniva re-indirizzato verso un sito web esterno. Su tutte le applicazioni. Questo scarica file infetti, mascherati da un installer di Adobe Flash Player per il sistema operativo mobile. Il malware, però, non agisce immediatamente. Per 7 giorni rimane dormiente grazie a un cookie che lo blocca. Trascorso questo tempo, entra in azione. E’ in grado di intercettare messaggi SMS per bypassare le verifiche di sicurezza a due step, quelle che inviano ai telefonini un messaggio con un codice per poter accedere e operare sui conti correnti online. Inoltre, può installare altre APP e visualizzare attività false.

Non si sa chi sia dietro all’operazione: le ipotesi sono 3

Sembra, almeno al momento, che Cepkutusu.com sia estranea alla diffusione del malware. La piattaforma, infatti, è stata avvertita e da quel momento si è fermata l’attività di invio del trojan. Non è chiaro nemmeno quale sia la fonte dell’azione. Sull’incidente è stata avviata un’indagine indipendente, che finora ha ipotizzato tre scenari. Il primo è un attacco avvenuto all’interno, a opera di un impiegato infedele. Il secondo è un’operazione esterna del cybercrime, che ha usato l’APP store come un vettore per la diffusione dei file malevoli. Il terzo e ultimo, infine, è che Cepkutusu.com abbia diffuso deliberatamente il malware. L’accaduto ha destato grande allarme nella community Android, in quanto la piattaforma turca è ben nota e ampiamente utilizzata non solo nel paese.