Nuove campagne di trojan attaccano centinaia di portafogli di criptovalute e app bancarie

I ricercatori di sicurezza informatica hanno individuato quattro famiglie attive di malware per Android che prendono di mira oltre 800 app, tra cui portafogli di criptovalute e app bancarie. Questi malware utilizzano metodi che la maggior parte degli strumenti di sicurezza tradizionali non è in grado di rilevare.

Il team zLabs di Zimperium ha pubblicato i risultati del tracdei trojan noti come RecruitRat, SaferRat, Astrinox e Massiv.

Secondo le ricerche dell'azienda, ogni famiglia possiede una propria rete di comando e controllo che utilizza per rubare le credenziali di accesso, assumere il controllo delle transazioni finanziarie e ottenere i dati degli utenti dai dispositivi infetti.

Le app di criptovalute e bancarie affrontano nuove minacce da parte di molteplici malware

Queste famiglie di malware rappresentano una minaccia diretta per chiunque gestisca criptovalute su Android.

Una volta installati, i trojan possono sovrapporre false schermate di accesso ad app di criptovalute e bancarie reali, rubando password e altre informazioni private in tempo reale. Il malware sovrappone quindi una falsa pagina HTML all'interfaccia dell'app originale, creando quella che l'azienda ha definito "una facciata ingannevole estremamente convincente"

"Utilizzando i Servizi di accessibilità per monitorare l'attività in primo piano, il malware rileva il momento esatto in cui la vittima avvia un'applicazione finanziaria", hanno scritto i ricercatori di sicurezza di Zimperium.

Secondo il rapporto, i trojan possono fare molto di più che rubare ledent. Possono anche intercettare i codici di accesso monouso, trasmettere in streaming lo schermo di un dispositivo agli aggressori, nascondere le icone delle proprie app e impedire agli utenti di disinstallarle.

Ogni campagna utilizza un'esca diversa per indurre le persone a cascarci.

SaferRat si è diffuso utilizzando siti web falsi che promettevano l'accesso gratuito a servizi di streaming premium. RecruitRat ha nascosto il suo payload all'interno di un processo di candidatura per un lavoro, indirizzando le vittime a siti di phishing che chiedevano loro di scaricare un file APK dannoso.

Astrinox utilizzava lo stesso tipo di metodo di reclutamento, tramite il dominio xhire[.]cc. A seconda del dispositivo utilizzato per visitare il sito, venivano visualizzati contenuti diversi.

Agli utenti Android è stato chiesto di scaricare un file APK, mentre gli utenti iOS hanno visualizzato una pagina simile all'Apple App Store. Tuttavia, i ricercatori di sicurezza non hanno trovato alcuna prova che iOS sia stato effettivamente violato.

Non è stato possibile confermare le modalità di distribuzione di Massiv durante il ciclo di ricerca.

Tutti e quattro i trojan hanno utilizzato infrastrutture di phishing, truffe tramite SMS e tecniche di ingegneria sociale che facevano leva sul bisogno delle persone di agire rapidamente o sulla loro curiosità per indurle a installare applicazioni dannose.

Il malware crittografico elude il rilevamento

Le campagne mirano a eludere gli strumenti di sicurezza.

I ricercatori hanno scoperto che le famiglie di malware utilizzano tecniche avanzate di anti-analisi e manomissioni strutturali dei pacchetti di applicazioni Android (APK) per mantenere, secondo quanto affermato dall'azienda, "tassi di rilevamento prossimi allo zero rispetto ai tradizionali meccanismi di sicurezza basati sulle firme"

Le comunicazioni di rete si mescolano al traffico normale. I trojan utilizzano connessioni HTTPS e WebSocket per comunicare con i loro server di comando. Alcune versioni aggiungono ulteriori livelli di crittografia a queste connessioni.

Un altro aspetto importante è la persistenza. I moderni trojan bancari per Android non utilizzano più infezioni semplici a singola fase. Al contrario, impiegano processi di installazione a più fasi progettati per aggirare il modello di autorizzazioni di Android, in continua evoluzione, che ha reso più difficile per le app operare senza l'esplicito consenso dell'utente.

Il rapporto non hadentspecifici portafogli o exchange tra le oltre 800 applicazioni prese di mira. Tuttavia, a causa di attacchi overlay, intercettazione del codice di accesso e streaming dello schermo, qualsiasi app di criptovalute basata su Android potrebbe essere a rischio se un utente installa un APK dannoso al di fuori del Google Play Store.

Scaricare app tramite link presenti in messaggi di testo, annunci di lavoro o siti web promozionali è ancora uno dei metodi più efficaci per infettare uno smartphone con malware.

Chi gestisce le proprie criptovalute su dispositivi Android dovrebbe utilizzare esclusivamente gli store di app ufficiali e diffidare dei messaggi pop-up che invitano a scaricare qualcosa.