E' dello scorso giorno la notizia secondo cui il Play Store ufficiale di Google avrebbe ospitato applicazioni malevoli, appositamente studiate per truffare gli utenti Android interessati al mondo delle criptovalute.

False app criptovalute Google Play Store - Annotazione 2019-05-24 141306

Per ora, i ricercatori del provider di sicurezza ESET hanno individuato due portafogli digitali fraudolenti. Il primo, chiamato Coin Wallet, consentiva agli utenti di creare portafogli per varie tipologie di criptovalute. Con la falsa promessa di generare un apposito indirizzo di portafoglio per ogni singolo utente intenzionato a depositare le proprie monete, l'app utilizzava in realtà un portafoglio di proprietà degli sviluppatori per ogni valuta supportata, per un totale di 13 portafogli. Ad ogni utente dell'app Coin Wallet era quindi stato assegnato il medesimo indirizzo di portafoglio, uno per ogni singola valuta, con il fine ultimo di indurre le ignare vittime a trasferire le loro criptovalute nei portafogli dei truffatori.

L'app è stata disponibile dal 7 febbraio al 5 maggio e il suo nome completo era Coin Wallet - Bitcoin, Ripple, Ethereum, Tether. In soli tre mesi, è stata installata più di 1.000 volte.

Vi era poi un secondo portafoglio fraudolento che utilizzava il nome Trezor Mobile Wallet, spacciandosi per il vero portafoglio di criptovalute hardware usato da Trezor. L'app chiedeva agli utenti di inserire i dati di accesso e li inviava ad un server controllato dagli sviluppatori. Più livelli di sicurezza integrati nei veri portafogli Trezor hanno fortunatamente impedito l'accesso agli account legittimi. Tuttavia, eventuali indirizzi email o altri dati personali potrebbero essere stati potenzialmente utilizzati per realizzare attacchi di phishing.

La falsa app di Trezor appariva su Play Store come secondo risultato della ricerca "Trezor". Inoltre, il nome stesso dell'applicazione, quello dello sviluppatore, la categoria e le immagini erano talmente ben studiate e simili al vero da ingenerare la falsa percezione che si trattasse della reale app di Trezor. Una volta installata, tuttavia, ci si poteva rendere conto facilmente che si trattava di un falso, perché l'icona mostrata sullo schermo del telefono appariva nettamente diversa da quella originale.

Google ha provveduto immediatamente a rimuovere entrambe le app fraudolente.