Cosa sapere sul nuovo trojan Android che svuota gli account PayPal

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Esistono malware estremamente sofisticati: trojan Android capaci di penetrare le difese di qualsiasi smartphone mettendo in difficoltà anche gli antivirus più avanzati. Ne abbiamo parlato anche in un nostro precedente articolo: “I 5 peggiori malware trojan Android: come attaccano e come difendersi“. Tuttavia, il trojan Android che i ricercatori della suite di sicurezza ESET hanno segnalato sul proprio blog ufficiale è decisamente diverso.

Differente sul piano delle modalità di attacco: nonostante infatti l’obbiettivo che gli sviluppatori di questo nuovo pericolo informatico sia decisamente seriol’account PayPal del malcapitato utentegli ostacoli che si frappongono tra il download del malware sullo smartphone e l’effettivo concretizzarsi della minaccia sono tanti e tali da rendere il trojan quasi inefficace. Per molti, ma non per tutti.

Per evitare dunque che qualcuno possa cadere nella sua rete, cercheremo di capire in che cosa consiste la minaccia digitale di questo trojan, e cosa fare per evitarla. Siete pronti?

Che cos'è Spy Banker

Il trojan – mai veramente chiamato con la sua denominazione ufficiale dai ricercatori ESET, che secondo il file APK di installazione dovrebbe essere “Spy Banker” – si comporta esattamente come ogni altro malware che adotti le strategie di mimetizzazione proprie di questi “cavalli di Troia” informatici.

Parimenti alle loro versioni per computer, i trojan Android si travestono da software attendibili per ingannare l’utente e convincerlo a completare non solo l’installazione, ma anche la configurazione loro necessaria per prendere completamente possesso del device sul quale sono installati. Le finalità possono essere differenti, ma nessuna positiva: l’intercettazione di conversazioni sia vocali che testuali, l’hijacking di app di chat sicure, il furto di credenziali di social network o account bancari e di sistemi di pagamento online. Che è proprio ciò che Spy Banker si propone.

Come Spy Bank attacca gli smartphone degli utenti

Spy Banker, come molti – ma non tutti – altri malware oramai è rintracciabile solo su store di terze parti, ossia market di applicazioni alternativi a Google Play. Per quanto molti osservatori e commentatori abbiano puntualizzato che questo singolo dettaglio infici la stessa pericolosità del virus (rendendo di conseguenza gli articoli scritti a suo proposito, “falsallarmistici“), ci permettiamo di dissentire, perlomeno in questo caso.

L’icona e la funzionalità proposta dal malware ricorda molto da vicino l’app “Battery Doctor”, recentemente rimossa da Google Play

Per quanto infatti gli store di terze parti siano largamente sconosciuti alla maggior parte degli utenti Android e vengano frequentati principalmente da chi è alla ricerca di versioni gratuite di app altrimenti a pagamento (app pirata, dunque, e per i quali non proviamo particolare pietà), un fatto di cronaca recente ci porta ad identificare Spy Banker come malware particolarmente insidioso.

L’icona utilizzata nel proprio mascheramento infatti, insieme al nome (“Optimization Android“), ricordano da vicino – anzi, è proprio la stessa – l’applicazione Battery Doctor: popolare quanto probabilmente inefficace suite di ottimizzazione dei consumi, sviluppata da Cheetah Mobile (sì, la stessa software house di Clean Master), è stata di recente eliminata dal Play Store per via di una contorta faccenda di frodi pubblicitarie. Ad espellerla non è stato Google, ma Cheetah Mobile stessaufficialmente per “aggiornare” le Target API incluse nell’app e considerate obsolete, ma probabilmente per battere sul tempo Google che aveva già espulso un’applicazione della società poche ore prima, e che probabilmente avrebbe fatto lo stesso con Battery Doctor.

Non ci pare dunque così impossibile che un utente, magari inesperto, tenti la strada del web per installare o aggiornare l’app che ha da sempre utilizzato per ottimizzare i consumi sul proprio device – per quanto ci sembri uno scenario davvero improbabile.

Una volta che comunque il trojan Android ha raggiunto lo smartphone, suddivide le proprie modalità di attacco in due fasi – alternative, ma possibilmente anche successive una all’altra. In ogni caso, nasconde la propria icona e scompare dall’app drawer.

La prima modalità è l’attacco autoclicker: il trojan Android chiede all’utente l’abilitazione ad un apparentemente innocuo permesso denominato “Enable statistics“, che nei fatti non è altro che il permesso di accesso agli Accessibility Services che su Android hanno fatto tanti danni e contro i quali non sembra essere così semplice, per Google, prendere provvedimenti – QUI trovate maggiori dettagli in merito. Tuttavia, lo stesso pop-up relativo al permesso mostra a chiare lettere che la sua abilitazione comporta anche la possibilità di “Observe your actions – “Osservare le tue azioni“, particolare che dovrebbe suscitare i sospetti in qualunque utente.

Dopo che il permesso è stato concesso, il malware (nel caso in cui l’applicazione di PayPal sia installata) avvia una notifica per indurre l’utente ad accedere all’applicazione ed effettuare il login al servizio: così facendo Spy Banker supera ogni sistema di sicurezza di PayPal – compresa l’autenticazione a due fattori – poiché è l’utente stesso a fornire le credenziali d’accesso. Secondo i ricercatori, l’attacco si conclude con un tentativo del malware di inviare ad un account PayPal – collegato ai suoi sviluppatori – la somma di 10.000€, il tutto senza che l’utente possa fare nulla visto che è il virus ad cliccare da sé sui pulsanti della schermata. Questo attacco si ripete inoltre ogni volta che l’app di PayPal viene lanciata.

La seconda modalità è un classico phishing: l’applicazione scarica 5 schermate HTML che generano falsi profili di accesso ad altrettanti servizi (GMail, Viber, WhatsApp, Skype e Google Play), che essendo però dinamici possono essere aggiornati via server e modificati nell’aspetto in qualsiasi momento dall’hacker.

Alcune delle false schermate usate dal trojan Android per mimetizzarsi ed effettuare il proprio attacco di phishing

È stato infatti registrato anche un tentativo da parte del malware di imitare una schermata di login ad un profilo bancario. In particolare, poi, l’accesso a GMail sembra caro in special modo al malware per via della connessione con PayPal: il servizio di pagamento invia notifiche via email ad ogni transazione di denaro, e la possibilità di nascondere tali email (tramite l’accesso fraudolento alla casella dell’utente) consentirebbe al malware di proseguire la prima strategia di attacco un po’ più a lungo.

I ricercatori di ESET hanno inoltre notato che il malware visualizza queste schermate in modalità lock-screen, cosicché per sbarazzarsene l’utente è costretto a digitare dati (a caso) all’interno dei form di inserimento delle credenziali (poiché premere sul pulsante Home non sarebbe sufficiente). Sembra poi che il codice del malware apra la strada anche ad utilizzi ransomware (quindi bloccando il dispositivo in cambio di un riscatto) tramite il classico schema del finto sequestro del device da parte delle forze dell’ordine per detenzione di materiale pornografico.

Come difendersi

Per difendersi da questo trojan Android, e dai malware che in generale operano secondo simili tattiche, vi possiamo consigliare di:

  • frequentare solo store ufficiali: oltre a Google Play, esistono pochi altri store di terze parti realmente affidabiliAPK Mirror, F-Droid, XDA Labs; scaricare file APK di applicazioni altrimenti disponibili su Google Play è pericoloso e irresponsabile, in quanto vi espone a rischi totalmente evitabili;
  • non concedere permessi sospetti: con la “rivoluzione dei permessi” effettuata da Android tramite le release pari e successive ad Android Marshmallow è decisamente più facile riconoscere un permesso sospetto da quelli più classici e realmente riferiti alle funzionalità delle applicazioni – senza i quali, in altre parole, non sarebbero in grado di funzionare. Evitate quindi di concedere qualsiasi permesso senza prima non averne controllato gli effetti sul dispositivo, leggendone la descrizione o effettuando una breve ricerca online;
  • non ignorare un sintomo di infezione: notifiche sospette, pop-up improvvisi e altri comportamenti inusuali sono tutti sintomi di un’infezione da malware. Ignorarli non servirà a risolvere il problema, ma contribuirà a rendere il virus più forte ed efficace – naturalmente a vostro danno;
  • non diffondere le vostre password: nonostante siano diventati decisamente più sofisticati di un tempo, le false schermate d’accesso a social network e altri profili sensibili sono ancora ampiamente riconoscibili dalle loro controparti reali. Prestate dunque attenzione all’applicazione o al sito web al quale state consegnando le vostre credenziali (vi consigliamo di leggere, a proposito: “I 5 Saggi Consigli per riconoscere un link virus“).

Hai paura che un malware possa entrare nel tuo smartphone? Scopri QUI tutti i modi per difenderti!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Fonte We Live Security
Via 9to5Google
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//