I ricercatori di sicurezza informatica di Cleafy hanno scoperto una nuova variante di un trojan bancario Android chiamato TrickMo, le cui nuove funzionalità di cui è dotato permettono al malware di eludere le analisi e visualizzare schermate di login false per carpire le credenziali bancarie delle vittime.
“La scoperta del malware TrickMo nel panorama delle minacce dimostra l’avanzata complessità raggiunta dai codici malevoli sviluppati per colpire i dispositivi mobili e gli sforzi dei suoi creatori per evitare la rilevazione del malware”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, già fondatore del primo malware lab, lo Z-Lab, sviluppato da un’azienda privata, in grado di raggiungere visibilità internazionale.
Ecco come mitigare il rischio.
Indice degli argomenti
Il trojan TrickMo mette a rischio le credenziali bancarie
TrickMo, catturato per la prima volta in natura dal CERT-Bund nel settembre 2019, ha una storia di attacchi ai dispositivi Android, in particolare prendendo di mira gli utenti in Germania per trafugare le one-time password (OTP) e altri codici di autenticazione a due fattori (2FA) per facilitare le frodi finanziarie.
“I meccanismi includono l’utilizzo di file ZIP malformati in combinazione con JSONPacker”, hanno affermato i ricercatori di sicurezza Michele Roviello e Alessandro Strino. “Inoltre, l’applicazione viene installata attraverso un’app dropper che condivide gli stessi meccanismi anti-analisi”.
“Queste caratteristiche sono progettate per eludere il rilevamento e ostacolare gli sforzi dei professionisti della sicurezza informatica per analizzare e mitigare il malware”.
Si pensa che il malware focalizzato sulla telefonia mobile sia opera della cyber gang TrickBot, ormai defunta, che nel corso del tempo ha continuamente migliorato le sue caratteristiche di offuscamento e anti-analisi per passare in sordina.
Tra le caratteristiche principali, il banking trojan è in grado di registrare l’attività dello schermo, i tasti premuti, raccogliere foto e messaggi SMS, controllare a distanza il dispositivo infetto per condurre frodi on-device (ODF) e di abusare dell’API dei servizi di accessibilità di Android per sferrare attacchi di sovrapposizione HTML e di effettuare click e gesti sul dispositivo.
L’applicazione dropper malevola scoperta dalla società italiana di cyber security si maschera da browser web Google Chrome che, una volta avviato dopo l’installazione, invita la vittima ad aggiornare Google Play Services cliccando sul pulsante Conferma.
I dettagli
Se l’utente procede con l’aggiornamento, scarica un file APK, contenente il payload di TrickMo, sul dispositivo con il nome di Google Services. A quel punto esorta l’utente ad abilitare i servizi di accessibilità per la nuova app.
“I servizi di accessibilità sono progettati per assistere gli utenti con disabilità fornendo modi alternativi per interagire con i loro dispositivi”, hanno dichiarato i ricercatori. “Tuttavia, se sfruttati da applicazioni malevole come TrickMo, questi servizi possono assicure un ampio controllo sul dispositivo”.
“Questi permessi elevati consentono al trojan bancario TrickMo di eseguire diverse azioni dannose, come intercettare i messaggi SMS, gestire le notifiche per intercettare o nascondere i codici di autenticazione ed eseguire attacchi di sovrapposizione HTML per rubare le credenziali dell’utente. Inoltre, il malware è in grado di disattivare le protezioni dei tasti e di accettare automaticamente le autorizzazioni, consentendo di integrarsi perfettamente nelle operazioni del dispositivo”.
Inoltre, l’abuso dei servizi di accessibilità consente al malware di disabilitare funzioni di sicurezza cruciali e aggiornamenti di sistema, di concedere automaticamente autorizzazioni a volontà e di impedire la disinstallazione di alcune applicazioni.
La configurazione errata del server di comando e controllo (C2)
L’analisi di Cleafy ha anche scoperto una configurazione errata del server di comando e controllo (C2) che ha reso possibile l’accesso a 12 GB di dati sensibili esfiltrati dai dispositivi, tra cui credenziali e immagini, senza richiedere alcuna autenticazione.
Il server C2 ospita anche i file HTML utilizzati negli attacchi overlay. Essi comprendono false pagine di login per vari servizi, tra cui banche come ATB Mobile e Alpha Bank e piattaforme di criptovalute come Binance.
La lacuna nella sicurezza non solo evidenzia l‘errore di sicurezza operativa (OPSEC) da parte degli attori della minaccia, ma mette anche i dati delle vittime a rischio di sfruttamento da parte di altri attori della minaccia.
“Nonostante l’elevata complessità del malware”, avverte Paganini, “stupisce la cattiva Opsec dei suoi operatori che ha portato all’esposizione pubblica dei dati rubati alle vittime, con ovvie ripercussioni per loro”.
Come proteggersi dal trojan bancario TrickMo
I cavalli di Troia bancari rappresentano una categoria di malware che punta a rubare le credenziali bancarie delle vittime ed effettuare frodi online.
Per difendersi, occorre avere consapevolezza ed essere prudenti (non aprire allegati delle mail, essere sospettosi se provengono da account fidati), disabilitare le macro dalle impostazioni e scaricare ed installare solo software originale, da mantenere aggiornato, applicando le patch di sicurezza.
L’autenticazione multi fattori e le notifiche via mail dell’home banking sono prioritarie. In caso di attacco, occorre inoltre contattare la banca immediatamente per il blocco delle carte e la contestazione delle transazioni in questione.
“Ribadisco infine la centralità nello sviluppare una capacità di analisi malware nel nostro Paese“, conclude Pierluigi Paganini, “proprio per prevenire che attori sempre più sofisticati e con maggiori risorse possano minacciare con i loro codici le nostre infrastrutture e gli ignari cittadini”.
