Nel mirino oltre 450 app. Da WhatsApp a Facebook, passando per Coinbase, Plus500 e Amazon
Clubhouse, secondo quanto riferito dai suoi sviluppatori, non sarà disponibile nell'ecosistema di Google prima di un paio di mesi.
NEW YORK - Sgomberiamo subito il campo da eventuali dubbi: Clubhouse, l'app social che punta tutto sulla voce e che ha catalizzato su di sé le attenzioni in questi primi mesi del 2021, è per il momento ancora un'esclusiva di iOS, il sistema operativo mobile di Apple. E la versione per i dispositivi Android, come confermato dal co-fondatore Paul Davison, non arriverà prima di un paio di mesi.
Dunque, se il vostro smartphone è accessoriato con sistema Android e incappate in un'app che sembra in tutto per tutto Clubhouse, non scaricatela. La popolarità improvvisa del "nuovo" social ha infatti attirato, come scoperto da un ricercatore di ESET, anche l'attenzione di qualche "cyber-malintenzionato" che sfruttando la sua assenza dall'ecosistema targato Google ha confezionato una versione ad hoc fasulla dell'applicativo - con tanto di sito web di accompagnamento che imita le sembianze di quello ufficiale - che altro non è che un malware capace di rubare dati personali e credenziali da oltre 450 app, bypassando anche lo standard di autenticazione a due fattori via sms.
«Il sito web è praticamente identico a quello vero. Devo essere sincero, è una copia ben fatta del sito ufficiale di Clubhouse. Tuttavia, quando poi si clicca sul pulsante "Disponibile su Google Play" l'app viene automaticamente scaricata sul proprio dispositivo», mentre un sito legittimo dovrebbe reindirizzare il download presso lo store di Google, ha spiegato Lukas Stefanko, ricercatore esperto nel campo dei malware di ESET.
Facebook, Amazon, Plus 500... la lista è lunga
Nel mirino di questo "cavallo di Troia" - che è stato soprannominato "BlackRock" - ci sono app di messaggistica istantanea, social network, app per lo shopping, per la gestione delle proprie finanze e per le criptovalute. Qualche nome? WhatsApp, Facebook, Netflix, eBay, Cash App, Coinbase, Plus500, Amazon... Queste, insieme a molte altre, sono tutte nella lista.
Una volta installata sullo smartphone, l'app malevola mette in atto un attacco di tipo overlay. In altre parole, ogni volta che viene lanciata un'app sul dispositivo, il "trojan" si sovrappone letteralmente ad essa con una schermata di accesso che chiede all'utente di inserire le proprie credenziali, che vengono così sottratte.