martedì 20 dicembre 2016

Trojan+ransomware: la nuova minaccia "multitasking" per i dispositivi Android


L'attuale generazione di Trojan bancari per Android ha una caratteristica sempre più comune e diffusa: quella cioè di "portare con sè" anche caratteristiche simili a quelle di un ransomware, ovvero strumenti volti al blocco del dispositivo o, in alcuni casi, alla criptazione dei dati (ma anche entrambe le caratteristiche, in casi per ora rari).

Il fatto che questa tendenza sia in aumento non significa però, si badi bene, che ora i trojan bancari si stanno tramutando in qualcosa di sempre più vicino a un ransomware: rubare credenziali di accesso a conti correnti o dati di carte di credito resta pur sempre la loro funzione principale.
Tuttavia, queste funzioni aggiuntive fanno gola ai truffatori, perchè potrebbero essere ulteriori forme di guadagno.

Ulteriore forma di monetizzazione... 
Nella maggior parte dei casi, i trojan bancari presentano anche caratteristiche da ransomware al fine di avere una via di una monetizzazione secondaria, attivata sul dispositivo quando il trojan bancario fallisce nel tentativo di recuperare credenziali di accesso ai conti correnti o i dettagli delle carte di credito. Infatti non è detto che tutti gli utenti che vengono colpiti da trojan bancari usino app per il banking online: in questo caso le caratteristiche tipiche dei ransomware servono a garantire comunque l'estorsione di denaro, anche se in forma differente dal furto delle credenziali.
Un esempio? Android.SmsSpy.88.origin è stato individuato da Dr.Web

Tenere le vittime "occupate"...
C'è un'altra ragione per la quale alcune funzioni dei ransomware possono tornare utili ai truffatori: bloccare lo schermo del dispositivo della vittima è uno strumento assai utile a tenere occupate le vittime mentre il cyber-criminale attiva transazioni fraudolente.Il cyber-criminale punta cioè a tenere occupata la vittima nel tentativo di sbloccare lo schermo del dispositivo, sperando così di poterla distrarre dagli sms o email di conferma delle transazioni che stanno venendo effettuate dal conto corrente online o dalla carta di credito.

Un esempio? Fanta SDK modifica il pin del dispositivo quando l'utente prova a rimuovere l'app oppure a ridurne i privilegi di amministrazione. Si diffonde via link dannosi.

Faketoken....trojan bancario e ransomware.
Faketoken è un trojan bancario già diffuso in the wild. La versione più recente reca caratteristiche che lo rende molto simile al più classico dei deskotp ransomware, prima tra tutte la criptazione dei file.
Usa un algoritmo di criptazione AES, colpisce 89 differenti estensioni di file, ma si attiva solo quando il tentativo di phishing fallisce.


Questa settimana però è stato rilevato un altro trojan bancario, Tordow, che presenta caratteristiche miste di trojan bancario e ransomware.

Alcuni consigli:
1. Se possibile, è preferibile avere un dispositivo ad hoc per eseguire solo ed esclusivamente le transazioni bancarie
2. E' consigliabile impostare un limite di prelievo giornaliero dal proprio account di bancking online.
3. Non aprire link provenienti da messaggi dubbi o provenienti da mittenti sconoscuti.
4. Non scaricare app da fonti non sicure.
5. E' fondamentale proteggere il proprio dispositivo con un anti-virus efficace.

Nessun commento:

Posta un commento