0 risultati
video suggerito
video suggerito
11 Dicembre 2024
7:00

Arriva il trojan delle app bancarie su Android che svuota il conto: come difendersi da DroidBot

Un nuovo trojan per Android che attacca le app bancarie rischia di compromettere la sicurezza di milioni di utenti. Ecco come funziona l’attacco di Droidbot e come difendersi.

474 condivisioni
Arriva il trojan delle app bancarie su Android che svuota il conto: come difendersi da DroidBot
droidbot

Sta arrivando in Italia e in altri Paesi europei DroidBot, un malware bancario di tipo trojan ad accesso remoto o RAT (Remote Access Trojan) per dispositivi Android, scovato lo scorso ottobre dagli esperti di sicurezza informatica Cleafy, che attacca le app bancarie per svuotarne i conti, ma anche piattaforme di criptovalute e istituzioni nazionali. Il suo punto di forza è una combinazione di tecniche avanzate, come il keylogging (ovvero la registrazione dei tasti premuti sulla tastiera) e gli attacchi VNC (Virtual Network Computing), che permettono il controllo remoto del dispositivo infetto. DroidBot utilizza un sofisticato sistema di comunicazione a doppio canale, rendendo difficile il suo rilevamento e, di conseguenza, anche il suo blocco. Nonostante sia ancora in fase di sviluppo, ha già preso di mira utenti in Italia, Francia, Spagna e altri Paesi europei, con indizi che lasciano presagire un’espansione anche in America Latina. Secondo gli esperti che l'hanno scovato «al momento dell'analisi, sono stati identificati 77 obiettivi distinti».

Come funziona l’attacco di DroidBot alle app bancarie

Distribuito spesso sotto forma di app apparentemente legittime, come strumenti di sicurezza o servizi Google, DroidBot sfrutta i servizi di accessibilità di Android per ottenere il controllo del dispositivo, rubare credenziali e intercettare codici di autenticazione. Questa minaccia, pur non eccellendo per complessità tecnica rispetto ad altri malware, rappresenta un rischio significativo grazie al suo modello di diffusione MaaS (Malware-as-a-Service), che consente a diversi attori malevoli di utilizzarlo dietro pagamento. A proposito di questo, gli esperti di Cleafy hanno infatti affermato:

Il malware presentato qui potrebbe non brillare da un punto di vista tecnico, in quanto è piuttosto simile alle famiglie di malware note. Tuttavia, ciò che spicca davvero è il suo modello operativo, che assomiglia molto a uno schema Malware-as-a-Service (MaaS), qualcosa che non si vede comunemente in questo tipo di minaccia. Se ricordiamo casi significativi come Sharkbot, Copybara o il più recente Toxic Panda, l'infrastruttura, il codice e la pianificazione della campagna sono stati tutti gestiti “in-house”.

Inoltre, DroidBot combina elementi di diverse tecniche di attacco per massimizzare la sua efficacia. Tra le sue capacità più pericolose troviamo la sovrapposizione di schermate (il cosiddetto overlay) alle app bancarie legittime per sottrarre credenziali, l’intercettazione di SMS per ottenere codici di autenticazione o TAN (Transaction Authentication Number) e la cattura di schermate del dispositivo. Il malware consente anche agli operatori di simulare le interazioni dell'utente, ad esempio per completare operazioni bancarie fraudolente. Queste funzioni sono gestite da remoto attraverso un pannello di controllo accessibile agli affiliati del MaaS, che possono personalizzare le configurazioni del malware per eludere i sistemi di sicurezza.

Una caratteristica distintiva di DroidBot è il suo sistema di comunicazione a doppio canale per il comando e controllo o C&C. I dati rubati vengono inviati tramite il protocollo MQTT (Message Queuing Telemetry Transport), mentre i comandi diretti vengono trasmessi utilizzando il protocollo HTTPS (Hypertext Transfer Protocol over Secure Socket Layer). Questo approccio aumenta la “resilienza” del malware e complica le operazioni di rilevamento da parte dei team di sicurezza dei soggetti interessati.

Gli esperti hanno scoperto, inoltre, che DroidBot integra funzioni segnaposto (tra cui come controlli di root, diversi livelli di offuscamento e unpacking multi-fase). “Traduciamo” per i non addetti ai lavori: queste funzioni segnaposto suggeriscono uno sviluppo ancora in corso del malware, che potrebbe renderlo più efficace e pericoloso, migliorando la sua operatività in contesti specifici.

Chi c'è dietro questa nuova minaccia informatica? Secondo l’analisi eseguita dagli esperti di cybersecurity rivela che gli sviluppatori di DroidBot sono probabilmente criminali di madrelingua turca. Inoltre, sembrerebbe che gli “affiliati” che pagano circa 3000 dollari al mese per l’accesso al malware, possono contare su un canale Telegram per ottenere supporto tecnico e condividere strategie, il che aumenta ulteriormente la pericolosità di DroidBot e il suo raggio d'azione, che secondo gli esperti è molto ampio, come illustra la seguente mappa.

Immagine
Raggio d’azione di DroidBot. Credit: Cleafy.

Come difendersi dal trojan RAT che svuota i conti

Trattandosi di una minaccia nuova, capire come difendersi da DroidBot richiederà ancora del tempo, tant'è che l'analisi tecnica di Cleafy non contiene consigli specifici a questo riguardo. In ogni caso, un buon punto di partenza è prestare la massima attenzione evitando comportamenti chiaramente impropri, ad esempio evitando l'installazione di app da fonti non ufficiali, anche se queste sembrano essere “sicure”. È importante, inoltre, aver installato un buon antimalware sul proprio smartphone Android, non sottoporre quest'ultimo a procedure di root e, cosa altrettanto importante, assicurarsi che il sistema operativo sia aggiornato con le ultime patch di sicurezza disponibili.

Sfondo autopromo
Cosa stai cercando?
api url views