giovedì 26 marzo 2020

TrickBot bypassa la protezione 2FA per il banking online tramite app mobile


Gli autori del malware per il furto informazioni e credenziali bancarie TrickBot stanno utilizzando, già in attacchi reali, un'applicazione dannosa per Android sviluppata appositamente per bypassare l'autenticazione a due fattori: un sistema di autenticazione sicura introdotto dai vari servizi di pagamento online a causa dell'elevato numero di furti dei numeri di autenticazione delle transazioni rilevato negli ultimi anni. 

L'applicazione è stata rinominata TrickMo dai ricercatori di IBM X-force e, dalle analisi, è risultata essere in fase di aggiornamento: viene diffusa tramite desktop infetti tramite tecniche di web injection durante le sessioni di banking online. Ad ora pare colpire quasi esclusivamente utenti tedeschi, ma i continui update che sta ricevendo fanno pensare che l'app si trovi ancora in una fase di test. 

Gli operatori di TrickBot hanno sviluppato TrickMo per intercettare una vasta gamma di tipologie di codici per l'autenticazione incluse one time password (OTP9, mobile TAN e pushTAN. In realtà TrickMo era già conosciuta dai ricercatori, individuata nel Settembre 2019 dal CERT-Bund: al tempo i ricercatori tedeschi fecero sapere che i computer Windows colpiti da Trickbot iniziavano a richiedere alle vittime numeri di telefono e la tipologia di dispositivi per il banking online, cercando di convincerli poi a installare l'app dannosa nascondendola dietro un'app fake di sicurezza. 


La campagna di diffusione di questi giorni, che ribadiamo riguarda ad ora soltanto utenti tedeschi, conferma lo schema di attacco: gli attaccanti camuffano TrickMo in due utility fake, un falso "Avast Security Control" e un falso "Deutsche Bank Security Control". Una volta installata sul dispositivo, l'app inizia ad inviare agli operatori di TrickBot messaggi di  testo contenenti codici mTAN inviati dalle banche , che li riutilizzeranno per effettuare transazioni fraudolente. 

L'analisi pubblicata dai ricercatori di IBM X force ha aggiunto altri dettagli: il malware è in grado di impedire agli utenti la disinstallazione, si auto imposta come app predefinita per gli SMS, monitora tutte le applicazioni in esecuzione in cerca di credenziali ed è in grado di intercettare tutto il testo visualizzato sullo schermo del dispositivo. Inoltre richiede l'accesso ai servizi di accessibilità per individuare e controllare quei dialog screen di cui è dotato il sistema operativo Android per negare o approvare le permissioni delle app: con questa tecnica TrickMo riesce ad autoconcedersi le permissioni prima che l'utente possa reagire. Questo consente anche all'APP di cancellare i messaggi SMS inoltrati agli attaccanti: di fatto quindi le vittime non hanno modo di rendersi conto delle transazioni fraudolente in corso. Nel report i ricercatori spiegano che TrickMo è pensata appositamente per vanificare i nuovi metodi di OTP, con una particolare attenzione per i codici TAN molto usati in Germania. 



Tutte le funzioni
Questo malware ha comunque varie funzioni, oltre la principale del furto delle OTP: è capace di ottenere la persistenza sul dispositivo Android infetto, eseguendosi ad ogni riavvio, quando si accende lo schermo o si riceve un SMS. Nonostante il codice sia altamente offuscato per renderne complessa l'analisi, queste sono le funzioni individuate dai ricercatori di IBM X-force:
  • furto delle informazioni sul dispositivo;
  • intercettazione SMS;
  • lockdown del dispositivo;
  • screenshot dello schermo del dispositivo,
  • auto distruzione e rimozione. 

Nessun commento:

Posta un commento