Istituti bancari, piattaforme di scambio di criptovalute, organizzazioni nazionali… In totale, 77 “entità” in Europa sono stati presi di mira dal malware Android chiamato “DroidBot”. Scoperto a giugno, questo trojan di accesso remoto (RAT) è stato sviluppato da hacker turchi. Questi ultimi lo offrono poi ad altri criminali informatici sotto forma di malware-as-a-service (MaaS), al prezzo di 3.000 dollari (2.840 euro) al mese. Conclusioni che arrivano da un rapporto pubblicato il 4 dicembre dalla società italiana di software per la sicurezza delle reti Cleafy.
Il malware abusa delle autorizzazioni di accessibilità di un'app
Dal punto di vista tecnico il malware si spaccia per un’applicazione popolare come Google Chrome, Google Play Store o “Android Security”. Sfrutta poi i servizi di accessibilità Android, richiesti nelle prime fasi di installazione. Queste funzionalità, inizialmente pensate per le persone non vedenti, possono essere attivate solo autorizzando l'accesso. Strumenti poi utilizzati dai criminali informatici per distribuire la loro gamma di strumenti dannosi.
Il malware “combina le classiche funzionalità VNC [système de contrôle à distance d’un ordinateur, NDLR] nascosti e sovrapposti a funzionalità spesso associate allo spywarespiega Cleafy. Include un keylogger e routine di monitoraggio che consentono l’intercettazione delle interazioni dell’utente, rendendolo un potente strumento per la sorveglianza e il furto di credenziali”.
Rilevati 17 gruppi criminali informatici
Il team di sicurezza informatica ha quindi identificato le tecniche per intercettare gli SMS e generare false pagine di accesso su applicazioni bancarie legittime. Inoltre, le autorizzazioni concesse ai servizi di accessibilità consentono ai criminali informatici di eseguire comandi remoti come premere pulsanti, navigare nelle app e persino compilare moduli.
I ricercatori di Cleafy hanno rilevato 17 gruppi di criminali informatici affiliati, ciascuno utilizzando identificatori univoci. Molti di questi autori comunicavano tramite lo stesso server basato sul protocollo di messaggistica MQTT, suggerendo che alcuni gruppi conducessero sessioni demo del malware. Analizzando una delle botnet, la società di sicurezza informatica ha identificato 776 infezioni uniche, principalmente nel Regno Unito, ma anche in Germania, Francia, Italia e Turchia. Nel mirino anche Spagna e Portogallo.
Nel mirino tutte le principali banche francesi
La Francia è tra i quattro Stati più colpiti. Sono state prese di mira dieci grandi banche francesi: Axa Banque, Banque Populaire, BNP Paribas, Boursorama, Caisse d'Épargne, CIC, Crédit Agricole, Crédit Mutuel Arkéa, LCL e Société Générale. Altri importanti istituti bancari sono stati presi di mira, come ING, Unicredit, Santander e BBVA. Vengono menzionati anche gli scambi di criptovaluta Binance, Kraken e OkCoin, tra gli altri.
Per proteggersi da qualsiasi tentativo di intrusione, si consiglia di utilizzare solo l'applicazione legittima Google Play Store e di prestare particolare attenzione quando si richiede l'autorizzazione al primo avvio di un'applicazione. Si consiglia inoltre vivamente di attivare Play Protect dalle impostazioni del Play Store, in modo da effettuare una scansione di sicurezza su tutte le applicazioni installate.
Selezionato per te