BankBot, GMail, Skyfin: cosa sono e come proteggersi dai 3 nuovi malware per Android

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Anche se i ricercatori hanno previsto che il 2017 vedrà l’arrivo di un’onda anomala di ransomware che si concentreranno specialmente nel settore dell’Internet of Things, Android continua ad essere il luogo di ritrovo preferito di uno svariato numero di malware di vario genere tra i quali trojan, phisher e virus di vario genere. Queste prime settimane di gennaio hanno visto tre specifiche minacce raggiungere gli onori della cronaca: i malware BankBot e Skyfin e la falsa schermata di phishing che sta recentemente colpendo tutti gli utenti GMail e che potrebbe essere attiva tanto su desktop quanto su mobile.

Siete pronti per scoprire tutto ciò che occorre su questi tre malware, e come difendersi dalle loro minacce?

BankBot, il malware che svuota il conto corrente

Conosciuto con il nome completo di Android.BankBot.149.origin, questo virus scoperto recentemente dal laboratorio di ricerca Dr. Web punta ad acquisire i codici di accesso ai conti correnti dell’utente per poi inviarne le credenziali ai propri sviluppatori, lasciando che questi provvedano a dirottarne il denaro all’interno di conti off-shore oppure in acquisti di cui l’utente non riceverà mai notifica dalla propria banca.

[row][double_paragraph][/double_paragraph][double_paragraph][/double_paragraph] [/row]

Il comportamento di BankBot è decisamente subdolo: una volta infatti che il malware è riuscito a raggiungere lo smartphone del malcapitato utente – solitamente nascondendosi all’interno di applicazioni scaricate da store di terze parti – cercherà di acquisire i permessi di amministratore del dispositivo, per poi cancellare qualunque traccia eliminandosi dall’app drawer per spingere l’utente a ritenere che il malware sia stato disinstallato. Dopodichè rimarrà in silente attesa che vengano lanciate popolari app di acquisti, pagamenti o anche solo di connessione sociale (Google Play, Facebook, Snapchat) provvedendo poi così a visualizzare false schermate di accesso a PayPal o differenti metodi di pagamento.

Una volta acquisite le credenziali di login agli account bancari della vittima, il malware – capace di controllare qualunque comunicazione dello smartphone, sia in entrata che in uscita – invierà tramite una struttura di server C&C (Command and Control) le informazioni acquisite e bloccherà qualunque SMS di notifica proveniente dalla propria banca, eliminando allarmi e suonerie d’avviso e cancellando i messaggi di testo alla ricezione.

BankBot è stato realizzato seguendo un codice di sviluppo disponibile pubblicamente: per evitare il contagio, vi consigliamo di evitare il download di file APK presso qualunque fonte online non affidabile.

La falsa schermata di GMail che deruba l’utente delle credenziali

Rimanendo in tema di phishing, anche GMail ha conosciuto un nuovo picco d’interesse grazie ad una nuova schermata di phishing utilizzata da anonimi sviluppatori per sottrarre le credenziali d’accesso dell’utente, le quali non sono solamente relative al proprio account di posta elettronica ma anche a qualsiasi altro sistema gestionale connesso al proprio account Google.

L’intera barra URL contiene un documento nascosto all’occhio dell’utente

A denunciarne la presenza è lo sviluppatore di un noto plugin di WordPress, il quale ha illustrato nel dettaglio il meccanismo di furto utilizzato dagli hacker: inviato attraverso una o più email infette, queste una volta aperte non visualizzeranno il contenuto del messaggio elettronico ma bensì una nuova schermata di accesso a GMail che, nei fatti, assomiglia in ogni dettaglio all’originale ad esclusione di un particolare.

Il filtro applicato da Google per le connessioni sicure

La barra degli indirizzi infatti non mostrerà la consueta dicitura di connessione ad una rete sicura, bensì una stringa URL in alcun modo ricollegabile ad una fonte ufficiale: si tratta di un intero documento contenuto all’interno della barra superiore, una tecnica chiamata “data URI” e che in realtà si costituisce di una lunghissima riga di codice che consente di visualizzare la falsa schermata. Una volta che l’utente inserisce le proprie credenziali, queste vengono immediatamente utilizzate per eseguire un ulteriore login da parte degli hacker – un team o un bot da loro controllato esegue il lavoro manuale, per via dell’estrema rapidità di esecuzione – che provvede ad inviare a tutti i contatti in rubrica una serie di email a loro volta infette, mascherate da contenuti pertinenti con il contatto o con l’oggetto del messaggio (a tutte le email dei membri della propria squadra di basket, per esempio, probabilmente verranno inviati messaggi riguardanti la pallacanestro).

L’ampia diffusione che questa tecnica sta conoscendo è dovuta probabilmente alla mancanza di colori di riconoscimento nella barra degli URL: quando Google infatti rileva una connessione non protetta, provvede ad indicarne la mancata salvaguardia dei dati immessi con una colorazione rossa molto visibile, non presente però nel caso della falsa schermata di phishing. Fortunatamente Mountain View è stata informata e prenderà provvedimenti a riguardo.

Skyfin è il malware che scarica, acquista e recensisce le app al posto dell’utente

Qualora Google Play provvedesse ad addebitarvi acquisti non previsti di applicazioni completamente dimenticabili, allora potreste aver subito un’infezione da parte del nuovo malware Skyfin, scoperto sempre dal laboratorio Dr. Web e conosciuto con il nome Android.skyfin.origin.1.

Skyfin è un Clean Master che ha optato per l’illegalità

Il malware tende a nascondersi, come sempre in casi del genere, all’interno di applicazioni caricate in store di terze parti: una volta scaricato, Skyfin – che presenta numerose similarità con la famiglia dei malware AndroidDownloader – eseguirà il download di un ulteriore modulo (Android.skyfin.origin.2) che consentirà al virus di accedere a Google Play, eseguire il download di app e giochi a pagamento e di interagire con le app stesse senza che l’utente possa impedirlo, o perlomeno venirne al corrente.

Skyfin prende possesso sia dell’ID del device sia di altre credenziali che consentono di mettere in atto una serie di comandi finalizzati allo scaricamento di app dal Play Store, molte delle quali a pagamento – senza installarle ma nascondendone il file APK nella scheda SD, impedendo così all’utente di venire a conoscenza delle transazioni; non solo questo metodo aumenterà il numero di download delle suddette app, ma l’account hackerato aggiungerà una recensione pienamente positiva che ne aumenterà anche la popolarità e dunque la posizione nelle classifiche interne a Google Play.

Questa però non è l’unica funzionalità di Skyfin: il malware infatti esegue l’installazione di un’unica app com.op.blinkingcamera – della quale simulerà i tap sui banner AdMob, aumentando dunque le prospettive di guadagno degli sviluppatori che con grande probabilità hanno accesso all’account AdSense connesso. Come al solito, la nostra raccomandazione rimane una sola: non eseguite installazioni da fonti non sicure o non raccomandate da noi.

Non lasciarti fregare: scopri QUI come le app malevole aumentano e distorcono le valutazioni su Google Play!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, la nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//