La sicurezza del Play Store di Android è sicuramente migliorata rispetto a pochi anni fa, eppure il negozio digitale di app che fa capo a Google non è esente da falle che permettono ancora a pericolosi virus di finire installati su migliaia di smartphone: è quello che è successo con il trojan Cerberus, un virus informatico che si è insinuato sui telefoni di almeno 10.000 utenti che pensavano invece di scaricare un'app del tutto legittima. A riportarlo sono stati gli sviluppatori dell'antivirus Avast, che hanno denunciato per primi come il malware fosse in grado di intercettare i dati bancari e altre informazioni sensibili memorizzate sugli smartphone che attaccava.

Cerberus si nascondeva dietro alle sembianze di Calculadora de Moneda, un'app per la conversione di valute che in Spagna di recente ha avuto una certa popolarità. Pur non avendo avuto un successo incredibile, l'app è stata comunque scaricata da più di 10.000 persone: faceva quel che prometteva di fare e le recensioni degli utenti ne parlavano bene, motivo per cui il software è stato in grado di conquistarsi un buon seguito in poche settimane. Gli sviluppatori dell'app però — ha raccontato Avast — stavano solo aspettando che l'app si guadagnasse una reputazione inattaccabile prima di cambiarne le sembianze.

Nel codice sorgente di Calculadora de Moneda erano infatti nascoste poche linee di codice attraverso le quali l'app poteva rimanere in ascolto di un comando di attivazione impartito dagli sviluppatori originali. Quando il comando è stato inviato, Calculadora de Moneda ha scaricato sugli smartphone delle vittime un'app malevola con il codice di Cerberus; il virus ha poi tentato di sovrapporsi ad eventuali app di home banking esistenti, sovrapponendo la proprie schermate a quelle delle app legittime nella speranza che gli utenti vi inserissero le proprie credenziali.

Chi cadeva nel tranello insomma forniva a un'app malevola il nome utente e le password necessarie per accedere ai propri conti online, con il rischio di vederseli prosciugati. Fortunatamente la maggior parte degli istituti bancari dispone di sistemi di verifica a due fattori che rendono impossibile effettuare transazioni senza utilizzare un'altra app o un SMS, ma il lavoro svolto da Cerberus può comunque creare problemi di non poco conto. Claculadora de Moneda è ora stata rimossa dal Play Store ma il meccanismo con il quale si è diffusa non va sottovalutato, perché rende pericoloso perfino fidarsi delle recensioni degli altri utenti — ingannati dal comportamento apparentemente legittimo di app che poi si rivelano pericolose. Per rimanere protetti da minacce simili il consiglio è di installare solamente app delle quali si conosce la storia o la reputazione, magari cercando online recensioni di siti web specializzati anziché fidarsi delle poche righe lasciate a commento dagli utenti.