Individuato in diffusione la scorsa settimana dal CERT, non si era mai visto in Italia. Arriva Hydra, il trojan bancario diffuso via SMS.
La campagna di diffusione della scorsa settimana
Il CERT-AgID ha individuato, assieme a D3Lab, un nuovo malware pensato per i dispositivi Android che non era mai stato intercettato in Italia: il malware si chiama Hydra ed è stato diffuso la scorsa settimana con una campagna di smishing mirata contro utenti italiani.
Il malware è stato diffuso via SMS contenenti un link che conduce ad una pagina di download. Questa pagina risulta visibile solo nel caso in cui il browser presenti uno user agent Android. Il file dannoso, in formato APK, è hostato su un server Discord e da lì viene scaricato. La pagina di download si presenta come una pagina dove scaricare o aggiornare l'APP per transazioni in criptovalute CoinBase.
 |
| Fonte: https://cert-agid.gov.it |
Inutile dire che se l'utente procede con il download, il suo dispositivo viene compromesso con Hydra.
Hydra: cosa si sa del campione per ora analizzato
Il campione analizzato dal CERT prende di mira ben 338 app bancarie. E' dotato di molte funzionalità per prendere il controllo del dispositivo. Hydra può
- gestire gli SMS;
- accedere al dispositivo compromesso usando il tool di assistenza remota TeamViewer;
- rubare il PIN;
- interagire col il bot presente sul server di comando e controllo per ricevere ulteriori istruzioni e comandi.
Una curiosità: la campagna era rivolta contro utenti italiani, ma il malware esegue comunque una verifica dell'Indirizzo IP col quale il dispositivo risulta collegato ad Internet. La lista di esclusione è brevissima: Hydra analizza il country code ed esclude solo IP russi ed ucraini.
Nella foto ecco come avviene la verifica dell'IP e l'esclusione dei codici regionali:
 |
| Fonte: https://cert-agid.gov.it |
Il malware, prima di iniziare la raccolta informazioni dal dispositivo, effettua una richiesta verso http://ip-api[.]com/json per ottenere informazioni appunto sull'IP e sul country code del dispositivo. E' poi la funzione "deviceInfo" a determinare se procedere o meno nelle operazioni, verificando che il country code sia differente da "RU" e "UA".
Le otto componenti di Hydra
Hydra ha 8 diverse componenti da attivare, elencate nella funzione "init".
 |
| Fonte: https://cert-agid.gov.it |
Ecco l'elenco delle componenti:
- text: per invio e furto di SMS;
- ussd: consente al malware l'uso dei codici USSD (servizio supplementare Dati non strutturati: un protocollo del Sistema Globale per le comunicazioni mobile GSM);
- locker: blocca il dispositivo;
- injects: gestisce notifiche push;
- socks5: consente l'uso di un Proxy SOCKS per dirigere il traffico;
- screencast: effettua screencast (registra l'output dello schermo);
- soundSwitcher: controlla la suoneria On / Off;
- commands: abilita il malware alla ricezione dei comandi del server C&C.
Le funzionalità di Hydra
Dalle analisi del CERT e di 3DLab è risultato che questo sample del malware Hydra può:
- raccogliere le info sul dispositivo;
- fare injection di pagine di phishing;
- tracciare le battiture sullo schermo (keylogger);
- accedere da remoto usando TeamViewer;
- rubare il PIN per lo sblocco mostrando all'utente false richieste di inserimento del PIN;
- inviare SMS, singoli o in modalità massiva, inoltrandoli all'intera lista contatti;
- gestire le impostazioni del WIFI.
Le banking app bersaglio
Come detto, Hydra prende di mira 338 diverse app bancarie: tra queste ve ne sono alcune di noti istituti bancari italiani. Per ogni app c'è un pacchetto che contiene un'icona in formato PNG e un file index.html che viene usato per sostituire la pagina originale con il form di login fake: tutti i dati inseriti in questi form sono inviati ai gestori del malware
 |
| Fonte: https://cert-agid.gov.it |
Per ulteriori dettagli tecnici e gli Indicatori di Compromissione, rimandiamo al report integrale del CERT.
Nessun commento:
Posta un commento