Riltok è un nuovo banking trojan per dispositivi Android che ha come obiettivo il furto di denaro e che, nato in Russia, sta ampliando il proprio raggio d’azione al resto del mondo, partendo proprio dall’Europa.
In Italia, Francia e Regno Unito, ad esempio, il nuovo malware per il mondo mobile ha già mietuto parecchie vittime spacciandosi per servizi di banking online noti usati per attirare in trappola le proprie vittime.
Ecco le icone di servizi online legittimi usate dal trojan Riltok per attirare in trappola le sue vittime: in Italia il malware sfrutta la notorietà del servizio Subito.it.
Indice degli argomenti
Riltok: le fasi di attacco del banking trojan
Identificato per la prima volta a metà del 2018 dai ricercatori di sicurezza dei Kaspersky Lab, Riltok è un pericoloso banking trojan e rappresenta dunque una seria minaccia per chi usa uno smartphone.
Questi malware, infatti, sono progettati per ottenere l’accesso agli account finanziari e ai beni delle vittime, grazie al furto delle credenziali usate per il login e al “dirottamento” delle sessioni di online banking.
I banking trojan assumono spesso le sembianze di servizi online e applicazioni legittime: in questo modo inducono l’utente all’installazione sui loro dispositivi e, successivamente, all’inserimento di credenziali di accesso e di dati personali.
Nel caso del trojan Riltok (il cui nome è una contrazione delle parole inglesi “Real Talk”), l’attacco inizia con la ricezione sullo smartphone della vittima di un SMS contenente un link che punta ad un finto sito Web la cui grafica ricorda molto da vicino una pagina online per il free advertising.
Gli utenti italiani, in particolare, potrebbero ricevere un SMS del tipo:
“%USERNAME%, ti ho inviato il soldi sul subito subito-a[.]pw/6*****5” (It.)
“% USERNAME%, ti ho inviato il pagamento subitop[.]pw/4*****7” (It.)
Il sito civetta controllato dai criminal hacker invita quindi l’utente a installare la nuova versione dell’app mobile del servizio: quest’ultima, in realtà, non è altro che un variante del malware Riltok.
Una volta che il malware è stato scaricato sul dispositivo e ha ricevuto le autorizzazioni necessarie dalla vittima stessa, diventa di default l’app per ricevere e visualizzare gli SMS.
Ottenute le necessarie autorizzazioni, il malware si imposta come app SMS predefinita.
In questo modo, i cyber criminali si garantiscono l’accesso diretto a tutti i messaggi che la vittima riceve sul proprio smartphone e di conseguenza anche ai codici di sicurezza utilizzati per convalidare le operazioni con le carte di credito.
Per garantirsi la maggior diffusione possibile, inoltre, Riltok invia un SMS a tutti i contatti presenti nella rubrica della vittima. Trattandosi di un’operazione lecita e “autorizzata” dalla vittima, il banking trojan riesce a completare questa operazione bypassando tutti i controlli di eventuali software di sicurezza installati nello smartphone.
Completata la catena infettiva il trojan Riltok inizia la sua azione malevola vera e propria cercando di raggiungere i suoi obiettivi principali:
- il furto delle informazioni delle carte di credito, grazie alla visualizzazione di una schermata con una versione fake dello store Google Play e alla richiesta, alla vittima, di inserimento delle informazioni relative alle proprie carte di credito. Il malware, addirittura, esegue una sorta di controllo di base per verificare che le informazioni fornite siano effettivamente corrette come, ad esempio, il conteggio del numero delle cifre inserite per la carta;
- il furto delle credenziali di accesso al proprio account bancario, grazie alla visualizzazione di una schermata che emula una app per il banking online o aprendo una pagina di phishing nel browser;
- l’occultamento delle attività e delle impostazioni di altre app, come le soluzioni o le impostazioni dedicate alla sicurezza stessa del dispositivo;
- l’occultamento di notifiche che arrivano dalle app bancarie legittime.
Secondo gli esperti di Kaspersky, ad oggi sono già oltre 4.000 gli utenti già colpiti da Riltok, per lo più in Russia, Italia, Francia e Regno Unito.
“Secondo le nostre ricerche, il malware Riltok è stato diffuso in modo lento, ma sistematico, soprattutto in Russia. Ci aspettiamo di osservare un incremento degli attacchi dal momento che i cyber criminali responsabili di questa minaccia stanno man mano allargando il loro raggio d’azione, prendendo di mira nuovi Stati e nuovi continenti, a cominciare dall’Europa”, è il commento di Tatyana Shishkova, Security Researcher di Kaspersky.
Secondo l’analista non sono rari scenari di questo tipo: “dopo che un gruppo ha creato un malware di successo e lo ha testato in Russia, questo viene riadattato in modo da essere in grado colpire anche vittime anche in altri paesi e muoversi in nuovi territori. Di solito, minacce di questo tipo finiscono col diventare di portata mondiale”.
I consigli per proteggersi dai mobile banking trojan
La prima arma di difesa dai mobile banking trojan come Riltok sono i tool antimalware: è sempre opportuno installarne uno sul proprio smartphone e, ovviamente, tenerlo sempre costantemente aggiornato con le firme virali dei nuovi malware.
È poi utile seguire alcuni semplici regole di sicurezza informatica:
- non cliccare mai su link sospetti all’interno degli SMS;
- bloccare l’installazione di programmi provenienti da fonti sconosciute e installare app solo se provenienti da app store ufficiali;
- fare sempre attenzione alle autorizzazioni richieste dalle app. Se l’autorizzazione sembra non essere in linea con le funzioni della app stessa e richiede comunque un’attivazione, si consiglia di non utilizzarla;
- usare una soluzione di sicurezza solida, in grado di offrire protezione dai software malevoli e dalle loro possibili azioni.
