venerdì 24 febbraio 2017

Trojan.Android/Spy.Banker: ruba le credenziali di accesso ai conti online e blocca il dispositivo.


Esattamente come previsto, il source-code di un potente trojan bancario per Android, rilasciato a metà del Dicembre 2016, viene ora impiegato per attacchi reali contro utenti Android. 

Mentre scriviamo sono in corso ben tre campagne di diffusione di questo trojan: infatti il codice è a disposizione di chiunque sul web, basta personalizzarlo e iniziarne la distribuzione (come sta effettivamente accadendo) sopratutto tramite false app sugli app store di terze parti, ma anche su Google Play Store. 

Come si diffonde?
La prima campagna, individuata da Dr.Web, risale alla metà del Gennaio 2017 e ha colpito principalmente utenti russi. Una seconda e una terza campagna sono invece molto più recenti (circa due settimane fa) e riguardano due differenti app presenti sullo store ufficiale Google Play. 

Per queste ultime due campagne i modus operandi è identico: si prende una app legittima di Google Play, si inietta il trojan bancario nel source-code della app, si "riconfeziona" la app e infine la si ricarica online nel Play Store superando lo scanner di sicurezza  di Google. Le app infette delle ultime campagne si chiamano Good Weather e Weather.

La terza campagna di distribuzione è stata ben più sofisticata ed ha anche una estensione più ampia: colpisce le app di ben 69 banche sparse in tre continenti. 

Che cosa fa?
Questo trojan fa comparire false finestre di login in alto nelle app legittimate, può bloccare il dispositivo con un comportamento simile a quello dei ransomware e intercetta gli sms per bypassare il meccanismo di verifica a due passaggi che, solitamente, rende sicure le transazioni online. Lo scopo è chiarissimo: rubare le credenziali di accesso agli account di banking online per poter disporre del denaro delle vittime.

La stranezza è che di questo trojan bancario, insieme al source code, è trapelato anche il pannello di controllo del server C&C, senza il quale nessun truffatore può verificare lo stato dell'infezione dopo aver colpito una vittima. Dal pannello dei controllo si è potuto verificare che questo trojan bancario (individuato da Dr.Web come Trojan.Android/Spy.Banker) è in diffusione già in 3 differenti versioni della V.1.0.

Attualmente alcune app infette da questo trojan bancario sono state rimosse, ma preoccupa molto il fatto che con un semplice repackage dell'app i truffatori siano riusciti a bypassare i controlli di sicurezza di Google Play Store.

Qualche consiglio:
1. Evitare di scaricare app da store non ufficiali è fondamentale, anche se, come si è visto, talvolta ci sono "infiltrazioni" anche in quelli ufficiali.
2. Verifica sempre, quando installi una nuova app, il tipo di permessi che richiede. Una app di riproduzione musicale non ha nessun senso che richieda l'accesso alla rubrica dei contatti, agli sms o alla geolocalizzazione del dispositivo.
3. Un buon antivirus può individuare i trojan e bloccare la app prima che il trojan possa attivarsi. 

Nessun commento:

Posta un commento