L’ultimo malware per frodi bancarie Android utilizza una tattica intelligente per rubare le credenziali
Tero Vesalainen / Shutterstock.com
Gli hacker, sfortunatamente, escogitano sempre nuovi modi intelligenti per rubare o accedere a informazioni sicure. Alcuni malware Android rilevati di recente, soprannominati Vultur, stanno utilizzando un nuovo metodo sfacciato per raccogliere le credenziali di accesso per oltre 100 app bancarie e crittografiche.
Il malware di accesso remoto (RAT), Vultur, ha preso il nome dalla società di sicurezza ThreatFabric con sede ad Amsterdam. Utilizza una condivisione dello schermo VNC di implementazione reale per registrare lo schermo di un dispositivo, il registro delle chiavi e eseguire il mirroring di tutto sul server dell’attaccante. Gli utenti inseriscono inconsapevolmente le proprie credenziali in quella che ritengono essere un’app affidabile e gli aggressori quindi raccolgono le informazioni, accedono alle app su un dispositivo separato e ritirano il denaro.
Questo metodo di registrazione dello schermo è diverso dai precedenti Trojan bancari Android, che si basavano su una strategia di sovrapposizione HTML. Vulture fa anche molto affidamento sull’abuso dei servizi di accessibilità sul sistema operativo del dispositivo per ottenere le autorizzazioni necessarie che gli consentiranno di accedere a ciò di cui ha bisogno per eseguire correttamente la raccolta delle credenziali.
Nel rapporto di ThreatFabric, abbiamo appreso che gli attori delle minacce sono stati in grado di raccogliere un elenco delle app che Vulture stava prendendo di mira, che sono state diffuse tramite Google Play Store. Italia, Spagna e Australia sono state le regioni con il maggior numero di istituti bancari interessati da Vultur. Sono stati presi di mira anche diversi portafogli crittografici.
"Le minacce bancarie sulla piattaforma mobile non si basano più solo su noti attacchi overlay, ma si stanno evolvendo in malware simile a RAT, ereditando trucchi utili come rilevare le applicazioni in primo piano per avviare la registrazione dello schermo", hanno scritto i ricercatori di ThreatFabric. "Questo porta la minaccia a un altro livello, poiché tali funzionalità aprono la porta alle frodi sul dispositivo, aggirando il rilevamento basato su MO di phishing che richiedono frodi eseguite da un nuovo dispositivo. Con Vultur, la frode può verificarsi sul dispositivo infetto della vittima. Questi attacchi sono scalabili e automatizzato poiché le azioni per eseguire la frode possono essere scritte tramite script sul back-end del malware e inviate sotto forma di comandi sequenziati.
Se l’utente scarica e apre una delle applicazioni a cui punta Vulture, il Trojan avvia la sessione di registrazione dello schermo. Gli utenti che si accorgono e tentano di eliminare l’app dannosa scopriranno rapidamente che non possono: un bot all’interno del malware fa clic automaticamente sul pulsante Indietro e rimanda l’utente alla schermata delle impostazioni principali.
L’unico vantaggio che gli utenti hanno è prestare attenzione al pannello delle notifiche, che mostrerà che un’app chiamata "Protection Guard" sta proiettando lo schermo. Per un resoconto più dettagliato su Vultur, ti consigliamo di leggere il report di ThreatFabric. In caso contrario, ricorda di scaricare solo app attendibili.
via Ars Tecnica