I ricercatori di cyber security di F5 Labs hanno rilevato un nuovo banking trojan per Android che si chiama MaliBot e che rappresenta una cyber minaccia per i crypto miner.
“MaliBot si colloca nella categoria dei mobile banking trojan e riesce a camuffarsi in applicazioni note quali Mining X, The CryptoApp, MySocialSecurity e a volte anche Chrome”, commenta Michele Cortese, Exprivia Security Researcher.
Ecco come funziona e come proteggersi dal malware che arriva da server con base in Russia.
Indice degli argomenti
MaliBot: il nuovo banking trojan per Android
Dalle analisi effettuate dai ricercatori si evince che MaliBot ha messo nel mirino gli utenti italiani e spagnoli che usano app di crypto mining o il browser Chrome.
MaliBot si focalizza nel rubare informazioni finanziarie come le credenziali dei servizi di e-banking, le password dei crypto wallet e dettagli personali. Inoltre, è in grado di intercettare i codici di autenticazione a due fattori (2FA) come le notifiche.
Il malware sta sfruttando molteplici canali di distribuzione, per coprire il market gap creato dall’improvviso smantellamento dell’infrastruttura di diffusione del malware FluBot.
Fake crypto-app
Il server di comando e controllo di Malibot si basa in Russia. Inoltre, il suo IP è stato associato con diverse campagne di distribuzione malware dal giugno 2020.
La distribuzione di MaliBot prende avvio da un sito web che promuove le applicazioni di criptovalute nella forma di APKs che le vittime scaricano e installano manualmente.
I siti che spingono questi file sono cloni di progetti reali come TheCryptoApp, che conta oltre un milione di download su Google Play Store.
In un’altra campagna, il malware sfrutta un’app nota come Mining X. In questo caso, le vittime sono indotte a scansionare un QR code per effettuare il download dell’APK malevolo.
Le capacità di MaliBot
MaliBot è un potente trojan Android , dotato di permessi di accessibilità e launcher sull’installazione che gli assicurano ulteriori diritti sul device.
Può intercettare notifiche (anche di 2FA), SMS, chiamate, catturare schermate, registrare attività di boot e fornire a malintenzionati o cyber criminali capacità di controllo da remoto via VNC system.
Proprio l’utilizzo di VNC permette agli operatori del malware di navigare fra screen, scroll, prendere screenshot, copiare e incollare contenuti, swipe, effettuare pressioni lunghe sul display dei dispositivi eccetera.
I dettagli tecnici
“La sua funzionalità principale”, prosegue Michele Cortese, “è il furto di dati sensibili quali informazioni finanziarie, portafogli di criptovalute, credenziali ed è in grado di differenziarsi dai più classici trojan della sua famiglia per la sua capacità di rubare e bypassare i codici legati all’autenticazione a due fattori nota anche come 2FA (Two-Factor Authentication) o MFA (Multi-Factor Authentication). Inoltre tutti i dispositivi infetti possono essere controllati in remoto utilizzando un’implementazione del server Virtual Network Computing (VNC) solitamente impiegato per gestire e amministrare un computer a distanza, tale tecnica di attacco informatico è anche nota come attacco di Comando e Controllo (C2)”.
Secondo Cortese, “MaliBot viene veicolato mediante siti web fraudolenti che inducono l’utente a scaricare l’APK dell’applicazione contenente il malware. Al momento sono in atto due campagne malevole TheCryptoApp e Mining X, entrambe sono applicazioni legittime per il mining di criptovalute e per ognuna di esse è stato realizzato un sito web fraudolento dal quale, mediante un semplice link, è possibile scaricare il suddetto malware. Si precisa che solamente per la campagna TheCryptoApp, visitando il relativo sito web fraudolento da un dispositivo Android si verrà reindirizzati al download dell’APK malevolo, altrimenti visitandolo da qualsiasi altro dispositivo, si verrà reindirizzati all’applicazione legittima presente nel Play Store”.
Ancora Cortese sottolinea che “l’APK dannosa viene distribuita anche mediante lo smishing, un attacco di ingegneria sociale che sfrutta gli SMS per indurre la vittima a cliccare su un link e scaricare l’applicazione malevola. MaliBot stesso è in grado di accedere ai contatti di un dispositivo infetto ed inviare messaggi SMS su richiesta del server di Comando e Controllo (C2) al fine di diffondersi in maniera più rapida e controllata. Spesso gli utenti sono più propensi a fidarsi di un SMS piuttosto che di un messaggio ricevuto mediante email e probabilmente questa è la motivazione per la quale al momento non si registrano campagne di phishing via email. Dopo aver scaricato e installato il malware, il dispositivo infetto viene registrato sul server di Comando e Controllo (C2) chiedendo alla vittima di concedere i permessi di accesso e avvio del device”.
“Successivamente”, continua il nostro esperto di cybersecurity, “sul dispositivo vengono registrati i seguenti quattro servizi Android responsabili delle azioni malevole di MaliBot:
- servizi di background, capaci di gestire l’interazione e lo scambio di informazioni tra il dispositivo e il server C2;
- notifica, servizi utilizzati per controllare i permessi di accessibilità sul device (qualora non fossero concessi MaliBot invia una notifica sul dispositivo);
- servizi di cattura schermo, capaci di acquisire uno screenshot o registrare la schermata del dispositivo infetto;
- per l’accessibilità, servizi che sfruttano le potenzialità delle Accessibility API per acquisire informazioni dallo schermo, premere pulsanti e manipolare il dispositivo a vantaggio dei cyber criminali (e Accessibility API sono dei servizi Android ideati per permettere un miglior interfacciamento con il dispositivo per tutti quegli utenti in possesso di disabilità fisiche e sensoriali)”.
Il rischio peggiore
“Oltre alle funzionalità classiche dei malware di questa categoria, ciò che merita particolare attenzione”, afferma Michele Cortese, “è la capacità di MaliBot di bypassare la Multi-Factor Auhentication (MFA) di Google, mediante degli script realizzati ad-hoc, per accedere all’account Google della vittima”.
La procedura sintetizzata dall’analista è molto semplice ed è la seguente:
- Dopo aver rubato le credenziali per l’accesso all’account Google dal dispositivo infetto, l’attaccante effettua un tentativo di accesso all’account mediante il server di Comando e Controllo (C2).
- Se per l’account in questione è abilitata la Multi-Factor Authentication e il dispositivo infetto è collegato all’account Google, il device riceverà una notifica che chiederà di confermare l’identità del titolare dell’account.
- Mediante i servizi per l’accessibilità, citati precedentemente, il malware confermerà l’identità e nella schermata successiva intercetterà ed acquisirà il codice MFA che verrà prontamente inoltrato al server C2.
- L’attaccante, mediante il server di Comando e Controllo (C2), inserirà il codice nell’apposito campo e sul dispositivo infetto verrà confrontato il valore inserito sul server C2 con quanto mostrato sul dispositivo stesso.
- MaliBot confermerà l’operazione sul device e l’attaccante avrà libero accesso all’account in questione.
Inoltre, sempre secondo Cortese, “oltre a bypassare la Multi-Factor Authentication degli account Google, MaliBot è in grado di intercettare anche i codici MFA dall’applicazione “Google Authenticator” su richiesta del server C2. Quando il server C2 invia un comando “2factor”, il malware apre Google Authenticator sul dispositivo infetto e mediante il task “2FA-code stealer” viene ricercato il codice MFA sullo schermo mediante uno schema di espressioni regolari “XXX XXX” dove X è un numero compreso tra 0 e 9. this.pattern = Pattern.compile(“^[0-9]{3} [0-9]{3}$”) (Esempio di espressione regolare) Dopo aver intercettato il codice MFA, quest’ultimo viene inoltrato al server C2 e può essere utilizzato dall’attaccante per autenticarsi su applicazione e siti web che richiedono la Multi-Factor Authentication”.
Come proteggersi da MaliBot
“I principali obiettivi di MaliBot”, avverte l’esperto cyber security di Exprivia, “al momento sono i clienti dell’online banking italiani e spagnoli ma è probabile che possa diffondersi rapidamente anche in altre aree geografiche e pertanto tutti gli utenti Android dovrebbero prestare attenzione e seguire quelle che sono le linee guida consigliate in queste circostanze: per tutti gli utenti è necessario configurare i propri dispositivi Android per permettere il download di applicazioni provenienti solo da fonti sicure e controllate quali Google Play ed essere sempre consapevoli dei rischi associati al download di applicazioni da fonti non sicure”.
“Per le aziende”, conclude Cortese, “è necessario adottare delle policy adeguate sui dispositivi mobile mediante soluzioni di Mobile Device Management (MDM) al fine di permettere il download di applicazioni solo ed esclusivamente dal marketplace Google Play. Di seguito vi è una raccolta di hash e Indicatori di Compromissione (IoC) utili al fine di individuare il malware in questione:
APK hash – SHA256:
- 4f9fb1830f47c3107b2c865a169fab46f02f6e3aeb9a3673877e639755af172a (nome applicazione “Mining X”)
- b12dd66de4d180d4bbf4ae23f66bac875b3a9da455d9010720f0840541366490 (nome applicazione “TheCryptoApp”)
- bfa9a861d953247eea496f4a587f59e9ee847e47a68c67a4946a927c37b042c4 (nome applicazione “MySocialSecurity”)
- 6d1566ffd1f60ed64b798ca1eea093982c43e1e88c096bc69dd98e0fd5c1c2d1 (nome applicazione “Chrome”)”.
La regola aurea per proteggersi da MaliBot e altri banking trojan è non scaricare mai da marketplace non ufficiali. I siti fake, che appaiono anche in alto sui motori di ricerca, sono sempre in agguato.
Occorre evitare sempre di effettuare il download ed installare app che non provengano dal marketplace ufficiale del sistema operativo che stiamo usando. Infatti, potrebbero contenere malware come MaliBot.
Non bisogna mai fidarsi, dunque, quando si lancia una ricerca online sui motori di ricerca per trovare il link di un download. Mai cliccare su un link ricevuto da sconosciuti o anche nomi noti (meglio verificare su Whatsapp ed accertarsi se il link proviene da chi pensiamo). Infine, occorre digitare sul sito ufficiale e scaricare la nuova release dallo store ufficiale.
