Le app false sono state inviate a Google Play nel mese di giugno e luglio 2018 e sono state installate da centinaia di vittime. Le app sono state presentate da tre gruppi diversi, ciascuno dei quali si presenta come una banca indiana diversa: tuttavia, le tre app portano a un singolo responsabile. Al momento, quindi, il problema sembra essere circoscritto solo alla banche indiane.
Tutte le app funzionano allo stesso modo. Dopo che sono stati eseguiti i processi di routine, inviano un modulo e chiedono i dettagli della carta di credito. Se gli utenti compilano il modulo e fanno clic su “Invia”, vengono portati in un altro modulo che richiede i dati di accesso homebanking.
Curiosamente, anche se tutti i campi sono contrassegnati come “obbligatori”, i campi possono essere lasciati in bianco – un chiaro suggerimento di qualcosa di sospetto.Dopo queste fasi, gli utenti arrivano a una schermata finale dove viene loro comunicato che un “Customer Support Executive” li contatterà a breve. Inutile dire che nessun contatto seguirà mai.
Tuttavia, i dati vengono quindi inviati in testo semplice, non crittografati, a un server accessibile a chiunque abbia un collegamento ad esso, senza alcun tipo di autenticazione. Per le vittime, questo aggrava il problema, dal momento che i loro dati non sono solo disponibili per il mocker, ma anche per chiunque li trovi.
Recentemente, ESET aveva già pubblicato un avviso su un’altra app dello stesso tipo – MyEtherWallet, che ha rivelato i dati privati di molti “portafogli” virtuali. Questi risultati evidenziano che è importante prestare molta attenzione quando si scaricano le app relative alle finanze, siano esse denaro tradizionale o virtuale.