Clubhouse su Android? Occhio al malware

Clubhouse si è decisamente imposto negli ultimi mesi nella scena dei social media, accogliendo un numero sempre maggiore di utenti attraverso le sue chat room solo "audio" in cui i partecipanti possono parlare di tutto, dalla politica al mondo hi-tech.

Pur essendo accessibile solo "attraverso un invito" ed essendo stata resa pubblica da circa 1 anno, l'app è stata scaricata da più di 13 milioni di utenti.

Al momento, è disponibile esclusivamente sull'App Store di Apple, non essendo disponibile in versione Android (anche se si sta pianificando il suo sviluppo).

Dettaglio non indifferente…

I Criminal hacker, infatti, stanno proprio approfittando di questo "buco" d'offerta - forse non noto ai più – rendendo disponibile agli utenti Android il download di una app che esternamente assomiglia in tutto e per tutto alla vera Clubhouse.

Per dare un tocco di serietà a quella che è una vera e propria truffa, il download è disponibile da un sito "fotocopia" dell'originale di Clubhouse, in grado di ingannare anche utenti esperti.

Un falso curato

La copia è stata contraffatta con una certa dose di attenzione e precisione. Salvo un piccolo dettaglio: cliccando sul tasto "Get it on Google Play" (letteralmente "Ottienila su Google Play"), l'app verrà automaticamente scaricata senza alcun reindirizzamento sul famoso marketplace di app.

Ad ora, non è ancora chiaro come gli utenti siano giunti su questo sito web, sebbene i sospetti più forti parlino di diffusione via social media o siti terzi come forum.

Il sito in questione (joinclubhouse[.]mobi) esternamente è identico al sito vero e proprio di Clubhouse (joinclubhouse.com).

Mettendolo però sotto la lente d'ingrandimento, risultano più evidenti diverse "red flags" ovvero indizi che dovrebbero insospettire le potenziali vittime.

La prima è che il protocollo del sito è HTTP invece che HTTPS, oltre al fatto che il sito utilizza il dominio .mobi (invece che il solito .com utilizzato dalla maggior parte dei siti "legittimi").

Il malware si chiama BlackRock

Cliccando sul pulsante che dovrebbe reindirizzare a Google Play, la vittima avvia il download di un trojan chiamato BlackRock che viene installato sul nostro cellulare. Questo malware, rilevato per la prima volta a luglio 2020, è una variante del trojan LokiBot che non aggredisce soltanto app finanziarie o di home banking ma anche una lista nutrita di app Android famose.

Il virus è in grado di scaricare i dati di login alle vittime, relativi ad almeno (stanti i dati raccolti fino a marzo 2021) 458 servizi online.

Il furto di credenziali è rivolto a note app dell'ambito finanziario e di ecommerce, oltre a exchange di criptovalute, social media e app di messaggistica. In un elenco non onnicomprensivo possiamo fare i nomi di Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA e della Lloyds Bank.

Le credenziali vengono sottratte dal trojan attraverso un overlay attack – un'offensiva piuttosto comune fra le app Android.

In questo caso, il malware creerà un overlay, una schermata fittizia dell'applicazione utilizzata dall'utente, richiedendo il login per sottrarre i dati. Invece di accedere al servizio, l'utente ha appena consegnato le proprie credenziali ai cybercriminali.

Seguendo uno schema anch'esso comune fra i malware, la finta app chiede alla vittima anche di attivare i servizi di accessibilità sul telefono in modo da avere il permesso di utilizzare il telefono a insaputa dell'utente (solitamente questi servizi su Android hanno lo scopo di assistere gli utenti portatori di handicap nell'uso di funzionalità e applicazioni).

Questi permessi danno così al malware accesso ai contatti, ai messaggi SMS, alla fotocamera e a tanto altro ancora. La possibilità di intercettare i messaggi SMS in entrata torna anche comoda per i threat actor che vogliono forzare i sistemi di autenticazione multifattore (spesso considerati il "gold standard" a livello di sicurezza digitale).

Come riconoscere il pericolo

Fra gli altri indizi che fanno capire il potenziale nocivo dell'app è che il suo nome è "Install" invece che "Clubhouse".

Forse il creatore del malware non ha pensato a questo dettaglio, forse verrà limato in seguito, ma in ogni caso è sempre bene tenere le antenne ben dritte per evitare di essere sorpresi.

Con il crescere della sua popolarità, Clubhouse è finito al centro delle polemiche per diverse questioni legate alla tutela della privacy, come la possibile registrazione delle conversazioni (vietata dai Termini dell'app stessa) a insaputa degli utenti.

L'app fraudolenta protagonista di questo articolo non è legata in alcun modo con il servizio legittimo, ma c'è da aspettarsi che altre copie di Clubhouse appariranno in futuro, in particolar modo se la tanto attesa versione di Android dovesse essere effettivamente rilasciata.

Non abbassiamo la guardia!