Gli esperti di sicurezza di Cleafy avvertono che è in corso la campagna Brata che ha diffuso infezioni Android RAT causate da un incremento di Android banking trojan, sfruttati per condurre attività fraudolente, di solito in combinazione con smishing e attacchi tramite social engineering.
L’aumento di trojan di accesso remoto (RAT), attraverso campagne malevoli, punta a rubare dati bancari su Android. “Questo tipo di minacce possono essere ridotte sia dagli utenti che dalle banche e servizi finanziari più evoluti”, commenta Gerardo Costabile, CEO di DeepCyber (Gruppo Maggioli).
Il Cert-Agid, nel corso del monitoraggio, ha scoperto che una campagna già pianificata contro banca Intesa San Paolo.
Indice degli argomenti
I dettaggli della truffa su Android
L’Android RAT ha la capacità di operare direttamente sui dispositivi della vittima invece di usare un nuovo device. Agendo così, gli attori della minaccia possono ridurre drasticamente la possibilità di venire classificato “come suspetto”, dal momento che l’impronta digitale del dispositivo è nota alla banca che considera legittimo l’accesso dello smartphone Android.
La minaccia Brata giunge dal Brasile e rientra in una campagna di malware molto ampia e pericolosa. Brata è capace di intercettare gli SMS, catturare lo schermo, disinstallare app come gli antivirus, disabilitare Google Play Protect per impedire di contrassegnare l’app fraudolenta come “sospetta”, celare l’icona dell’app, modificare le configurazioni del device per scalare i privilegi, sbloccare il dispositivo protetto da Pin o da sequenza numerica segreta. Gli attaccanti sfruttano lo smishing, il phishing via SMS.
Smishing e ingegneria sociale
Spediscono all’utente un messaggio di testo (SMS) che include un collegamento al fasullo sito Web della banca. Se la vittima digita sul link malevolo, l’aggressore la reindirizza a scaricare una fasulla app antispam, promettendo un contatto tempestivo da parte dell’istituto di credito per spiegare di che si tratta.
In effetti un finto operatore bancario contatta presto la vittima della truffa per fornire chiarimenti sull’app in download, che in realtà è un Android RAT. A questo punto interviene un’operazione di social engineering per convincere l’utente a scaricare l’applicazione, rassicurandola sulla provenienza legittima dell’applicazione.
Se l’utente cade nel tranello, lasciandosi convincere dalla telefonata del finto operatore bancario, installerà l’app malevola, regalando all’aggressore il controllo da remoto dello smartphone e il furto dei dati bancari.
La campagna contro banca Intesa San Paolo
Il Cert-Agid ha scoperto un dominio di recente registrazione che ha nel mirino i clienti di banca Intesa San Paolo.
Gli esperti di cybersicurezza hanno rievato una pagina di phishing, disponibile in lingua italiana e accessibile solo mediante Android, pianificata per trafugare le credenziali di accesso e archiviarle in un file di testo all’interno di una cartella sullo stesso server.
Ulteriori analisi hanno fotografato la presenza di una pagina denominata AntiSPAM che invita i clienti della banca a effettuare il download di una fasulla e pericolosa app per smartphone e device Android, detta “AntiSPAM.apk“. L’applicazione non serve ovviamente a tutelare i clienti dallo spam, bensì a rubare loro ulteriori informazioni, compresi dati bancari, per svuotare i conti correnti.
Consigli per proteggere gli utenti di mobile banking
“Lato utente, una maggiore consapevolezza e quindi evitare di cliccare su link sospetti, resta una pratica semplice ma che è ancora molto efficace. Il sano scetticismo resta sempre un’ottima forma di difesa”, continua Costabile.
Ma le banche potrebbero adottare soluzioni in tempo reale e connesse con cyber threat intelligence per aiutare gli utenti di mobile banking a evitare di subire questi attacchi. “Purtroppo non sempre sia è vigili e competenti e le banche ne sono consapevoli.
Per questo motivo dovranno anche loro approcciare diversamente il monitoraggio delle operazioni sospette“, mette in guardia Costabile.
Soluzioni di cyber threat intelligence
L’analista spiega: “I sistemi di monitoraggio comportamentale, quando c’è un malware, sono spesso inefficaci, perché l’algoritmo non nota un nuovo device (o un nuovo IP) che accede al proprio conto e, per questo, qualifica l’accesso – in ottica di risk score – legittimo”.
“Esistono però delle nuove soluzioni”, continua Costabile, “che, sempre in real time e connesse con la cyber threat intelligence, incrementano la qualità degli alert quando il comportamento dell’utente è ritenuto frutto in un codice malevolo. Quando è ad esempio automatizzato e gestito senza la componente umana. Questo sistema funziona anche quando l’antimalware non identifica alcun problema ed è trasparente all’utente”.
Gli esperti di cyber security sconsigliano sempre di effettuare il download di applicazioni e software da link inviati. Il download delle applicazioni si deve effettuare dai marketplace ufficiali, ma è buona regola anche confrontare l’hash dell’app scaricata con quello dichiarato dal vendor di software.
