È stata identificata una nuova variante di BrazKing, il trojan bancario per Android ora dotato di nuove capacità tecniche: la possibilità di generare in modo dinamico nuove false schermate bancarie per carpire i dati del malcapitato e una nuova funzione di implementazione che gli consente di operare senza richiedere eccessive autorizzazioni.
Indice degli argomenti
I dettagli tecnici di BrazKing
I campioni del nuovo malware per la piattaforma mobile del “robottino verde” sono stati identificati dai ricercatori di IBM Trusteer su siti esterni al Play Store di Google e in particolare su indirizzi Web ai quali le ignare vittime si collegano dopo aver ricevuto e cliccato su link contenuti all’interno di messaggi smishing (il phishing via SMS).
Questi siti HTTPS avvertono la potenziale vittima che sta utilizzando una versione di Android obsoleta e offrono l’APK di un’app che presumibilmente aggiornerà il sistema operativo dello smartphone Android della vittima all’ultima versione.
Gli basta un solo permesso per attivarsi
Se l’utente approva il “download da fonti sconosciute” dell’APK, il malware viene rilasciato sul dispositivo, richiedendo immediatamente l’accesso al “Servizio di accessibilità” di Android.
Questa autorizzazione viene usata per acquisire schermate e sequenze di tasti senza richiedere autorizzazioni aggiuntive che rischierebbero di sollevare sospetti nella vittima.
In particolare, il servizio di accessibilità viene utilizzato da BrazKing per le seguenti attività dannose:
- funzionalità di keylogger leggendo le visualizzazioni sullo schermo;
- funzionalità RAT: BrazKing può rubare i dati delle app bancarie;
- leggere i messaggi SMS senza il permesso “android.permission.READ_SMS” analizzando semplicemente i messaggi di testo che appaiono sullo schermo: questo può dare agli attaccanti l’accesso ai codici 2FA (autenticazione a due fattori);
- leggere gli elenchi di contatti senza l’autorizzazione “android.permission.READ_CONTACTS”, anche in questo caso analizzando semplicemente i contatti nella schermata “Contatti”.
Così BrazKing bypassa i controlli di Play Protect
A partire da Android 11, Google ha classificato l’elenco delle app installate come informazioni sensibili, quindi qualsiasi malware che tenti di recuperarle viene contrassegnato da Play Protect come dannoso.
Questo è un problema per tutti i trojan bancari che devono controllare quali app bancarie sono installate sul dispositivo infetto per carpire le schermate di accesso corrispondenti.
Per aggirare questo sistema di sicurezza, BrazKing non usa più la richiesta API “getinstalledpackages” come una volta, ma utilizza invece la funzione di visualizzazione dello schermo per riconoscere quali app sono installate sul dispositivo infetto.
Quando deve sovrapporre sullo schermo le finte schermate dei servizi bancari, BrazKing ora lo fa senza l’autorizzazione “System_Alert_Window” (quindi non può sovrapporre uno schermo falso sopra l’app originale come fanno altri trojan”: invece, carica la schermata falsa come URL dal server dell’attaccante in una finestra di visualizzazione Web, aggiunta dall’interno del servizio di accessibilità. Questo copre l’app e tutte le sue finestre ma non forza l’uscita da essa.
Quando rileva l’accesso a una banca online, invece di visualizzare gli overlay integrati, il malware si connetterà subito al proprio server per ricevere l’overlay di accesso da visualizzare e mostrarlo sullo smartphone al posto della schermata reale.
Questo sistema di sovrapposizione dinamico rende più facile ai criminal hacker rubare le credenziali per una gamma più ampia di banche. Servire gli overlay dai server dell’attaccante consente inoltre loro di aggiornare le schermate di accesso secondo necessità in concomitanza con le modifiche alle app o ai siti bancari legittimi o aggiungere supporto per nuove banche.
BrazKing: offuscamento e resistenza alla cancellazione
La nuova versione di BrazKing protegge le proprie risorse interne applicando un’operazione XOR utilizzando una chiave hardcoded e quindi le codifica anche con Base64.
Gli analisti possono invertire rapidamente questi passaggi, ma aiutano comunque il malware a passare inosservato quando è annidato nel dispositivo della vittima.
Se l’utente tenta di eliminare il malware, in automatico lo stesso esegue rapidamente i pulsanti “Indietro” o “Home” per impedire l’azione.
Lo stesso trucco viene utilizzato quando l’utente tenta di aprire un’applicazione antivirus, sperando di scansionare e rimuovere il malware all’interno dello strumento di sicurezza.
Secondo il rapporto IBM, BrazKing sembra essere gestito da gruppi di hacker locali, poiché circola su siti Web in lingua portoghese.
Come prevenire l’infezione
L’evoluzione di BrazKing mostra che i creatori del malware si adattano rapidamente per fornire versioni più furtive dei loro strumenti man mano che la sicurezza di Android diventa più stringente.
La capacità di rubare codici 2FA, credenziali e acquisire schermate senza richieste di autorizzazioni rende il trojan molto più pericoloso di prima, quindi è necessario prestare molta attenzione ai download di APK al di fuori del Play Store.
È bene ricordare, prima di cliccare su qualsiasi finestra proposta, che gli aggiornamenti ufficiali del sistema operativo Android sono visibili e presenti in Impostazioni, nella voce di menu dedicata.
