Il CERT-AgID ha pubblicato un alert specifico riguardo una campagna dannosa rilevata ai danni dei clienti dell'istituto bancario Intesa San Paolo. In dettaglio, i ricercatori del CERT hanno trovato online un dominio di recentissima registrazione che imita il sito web istituzionale di Intesa San Paolo.
Trattasi di una pagina di phishing in italiano, raggiungibile solo tramite dispositivi Android, pensata per rubare le credenziali di accesso all'home baking, che finiscono registrate in un file di testo sullo stesso server che ospita il dominio.
 |
| La pagina fake di Intesa San Paolo. Fonte: https://cert-agid.gov.it/ |
Il sito ospita una pagina denominata AntiSPAM, che invita gli utenti a scaricare un'app "di sicurezza" chiamata AntiSPAM.apk.
 |
| L'antispam fake. Fonte: https://cert-agid.gov.it/ |
Ovviamente l'applicazione non ha alcuna funzionalità antispam né di sicurezza: sottrae anzi ulteriori informazioni sull'utente e sul dispositivo. E' infatti un malware, chiamato BRATA.
BRATA: qualche info tecnica
Brata è un malware recente, individuato per la prima volta nel 2020 ben nascosto entro una serie di applicazioni dannose che erano riuscite a superare i controlli di sicurezza del Play Store: successivamente è stato distribuito tramite attacchi mirati di ingegneria sociale. "Risultano invece recenti" si legge nell'alert del CERT "le evidenze dell’uso di BRATA in attività italiane, il malware (APK) è sempre lo stesso ma viene ricompilato con nuovi indirizzi e pubblicizzato attraverso domini di nuova registrazione".
BRATA è l'acronimo per Brazilian Remote Access Tool Android, perché, in effetti, le prime diffusioni erano concentrate sul Brasile, poi piano piano il giro si è esteso agli Stati Uniti e alla Spagna: in tutti i casi questo malware si è sempre "camuffato" da applicazione di sicurezza. Una volta che ha infettato un dispositivo inizia a mostrare alert all'utente per spingerlo ad eseguire "urgenti aggiornamenti critici" su altre app. Quali notifiche fake sono mostrate dipende dalla lingua con la quale è configurato il dispositivo: chi parla inglese vedrà alert di Chrome, chi parla spagnolo alert di Whatsapp, per i portoghesi un inesistente lettore PDF ecc..
Ha capacità di assumere il controllo completo del dispositivo, catturare lo screenlock sia che sia un PIN, una password o un pattern, registrare le battiture sui tasti (è anche keylogger) e registrare le schermate del dispositivo. Può anche disinstallarsi, disabilitare Google Play Store e Google Play Protect, garantirsi ulteriori permissione cliccando su "consenti" senza interazione dell'utente quando compaiono richieste di permissioni sullo schermo.
Il servizio di accessibilità
Anche BRATA, come ormai molti altri malware per Android, fa uso del servizio di accessibilità. Il malware infatti, appena avviato, chiede immediatamente all'utente di abilitarlo
 |
| Fonte: https://cert-agid.gov.it/ |
L'abilitazione del servizio di accessibilità per BRATA gli consentirà di eseguire azioni automatiche, annullando la necessità di interazione dell'utente. Una volta attivato, il malware mostrerà una finestra di caricamento con un testo volto a convincere l'utente di come siano in corso verifiche di sicurezza sul dispositivo, mostrando perfino una schermata nella quale si afferma che tutte le verifiche hanno avuto successo. Niente di più falso: da quel momento l'app non è più apribile.
La lista dei comandi completi eseguiti dal malware è disponibile nell'alert sul sito del CERT-AGiD.
Nessun commento:
Posta un commento