venerdì 23 novembre 2018

3 mesi: oltre 70.000 attacchi. Ecco il nuovo trojan mobile Rotexy


Inizialmente era solo uno spyware, poi è stato trasformato in un trojan bancario con funzionalità da ransomware. Quindi è stato usato in più di 70.000 attacchi in tre mesi circa. 

Un pò di storia...
Il nome di questa nuova minaccia informatica è Rotexy, conosciuto un tempo come SMSthief perchè, agli inizi, si limitava a spiare il contenuto dei messaggi ricevuti e inviati sul dispositivo infetto. Dal 2016 però ha cambiato comportamento, scegliendo come obiettivo il furto dei dati delle carte di credito tramite pagine di phishing. In seguito, gli sviluppatori hanno aggiunto una pagina HTML che riproduce un form di login di una banca legittima, bloccando lo schermo dell'utente finchè questo non inserisce le credenziali necessarie. Per rendere ancora più credibile la truffa, il malware stesso offre una tastiera virtuale spacciata come "sistema anti keylogging". Infine è in uso anche un pò di ingegneria sociale: la pagina HTML infatti invita a inserire le credenziali per poter accettare un trasferimento di denaro (ovviamente inesistente) in favore della vittima. 

Canali di comunicazione multipli
Una delle prime caratteristiche che contraddistinguono Rotexy è il fato di disporre di ben tre canali di comunicazione, rigorosamente separati, per la ricezione dei comandi. I ricercatori hanno infatti scoperto che questo trojan può ricevere istruzioni tramite il servizio Google Cloud Messaging, che recapita messaggi in formato .JSON ai dispositivi mobile. Possiamo solo affermare che, per fortuna, questo canale cesserà di esistere l'11 Aprile 2019 per scelta di sicurezza da parte di Google stessa.

L'altro canale di ricezione dei comandi è un server di comando e controllo gestito direttamente dai cyber attaccanti, come è tipico della quasi totalità dei malware. 

Il terzo canale di comunicazione si basa sugli SMS e consente agli operatori del malware di controllarne l'operato tramite un messaggio di testo dal dispositivo infetto. In questo caso il malware mette il dispositivo in modalità silenziosa e spegne lo schermo quando il messaggio è arrivato.

Le (aggressive) richieste per i privilegi di amministrazione
L'ultima versione del malware include un meccanismo di protezione che verifica in quale paese il malware viene avviato e se venga o meno eseguito in un ambiente virtuale. Ad esempio, se è stato attivato in Russia e su un sistema reale, Rotexy si registra con Google Cloud Messaging e verifica se ha o meno i privilegi di amministrazione. Se non viene avviato con i privilegi di amministrazione, Rotexy inizia un ciclo continuo ed insistente di vvisi e notifiche all'utente per richiederli: il ciclo si interrompe solo quando i privilegi vengono effettivamente concessi. 



Infine, se l'utente ha la malaugurata idea di revocare i privilegi di amministrazione, il display del dispositivo viene periodicamente spento, nell'evidente tentativo di scoraggiare questa azione. Se l'utente riesce comunque nell'intento di revocare lo status di admin, Rotexy avvia di nuovo l'infinito e insistente ciclo di richieste fin quando non vengono di nuovo concessi i privilegi. 

Rotexy il ransomware...
Tra le funzionalità osservate dai ricercatori c'è anche quella ransomware: Rotexy infatti, tra le altre cose, visualizza una pagina HTML di tipo estorsivo con immagini sessualmente esplicite e che porta al blocco del telefono. Ovviamente, per sbloccare il telefono bisogna pagare un riscatto. In ogni caso sbloccare il dispositivo è piuttosto facile: i ricercatori sono infatti riusciti a individuare i comando che attiva questa azione. Quindi basta inviare un SMS con scritto "3458" per revocare i privilegi di amministrazione e "stop_blocker" per sbloccare lo schermo. (N.B: questi comandi funzionano per la versione attuale del malware. Non è possibile garantire la certezza che possano funzionare anche su precedenti o future versioni). 

Il malware comunque continuerà a reiterare la richiesta di privilegi e a bloccare lo schermo fin quando è presente nel sistema: l'unica soluzione definitiva è avviare la modalità provvisoria e rimuoverlo. 

La campagna di diffusione
Le analisi dei ricercatori hanno verificato l'esistenza di una campagna specifica di diffusione di questo trojan bancario, verificatasi tra Agosto e Ottobre di quest'anno. Diffondeva l'ultima versione di Rotexy principalmente verso utenti russi, ucraini, turchi, tedeschi e altre nazioni europee. 

Nessun commento:

Posta un commento