Alcuni hacker stanno rubando informazioni di carte di credito in mezza Europa sfruttando un malware in grado di simulare perfettamente le interfacce utente di Uber, WhatsApp, YouTube e Google Play. Il malware in questione, che ha già colpito utenti Android in Danimarca, Italia e Germania, si è diffuso con una campagna di phishing tramite SMS stando all’azienda specializzata in sicurezza FireEye.

Una volta scaricato, il malware crea un’interfaccia utente falsa che si sovrappone a quella vera delle applicazioni citate; l’interfaccia fasulla, ma di fatto indistinguibile da quella autentica, richiede all’utente le informazioni sulla carta di credito che poi vengono inviate agli hacker.

Questa famiglia di malware che utilizza il sistema degli overlay delle app è in continua evoluzione, tanto che da febbraio FireEye ha riscontrato nella sola Europa 55 di questi malware. Le versioni precedenti prendevano di mira le app di servizi bancari, ma ora il malware può falsificare le interfacce di app molto più popolari che bene o male qualsiasi utente di Android (a parte forse quella di Uber) ha sul proprio smartphone.

Per diffondere il malware, gli hacker hanno inviato SMS con al loro interno un link malevolo. Una tipica tecnica di phishing nella quale diversi utenti sono già caduti, ingannati da messaggi che invitavano ad esempio a cliccare su quel link per ricevere informazioni su un ordine non consegnato. FireEye ha contato finora cinque campagne di phishing per diffondere il malware e in una di queste gli SMS incriminati hanno generato qualcosa come 130.000 click al link malevolo. Tra l’altro le versioni più recenti del malware sono difficili da individuare, tanto che secondo FireEye solo 6 dei 54 antivirus testati hanno notato un pericolo nascosto negli SMS.