Si chiama EventBot il nuovo e insidioso mobile banking trojan per Android che, grazie alle sue particolari caratteristiche tipiche dei malware infostealer, è in grado di abusare delle funzionalità di accessibilità di Android per esfiltrare dati sensibili dalle applicazioni finanziarie, leggere i messaggi SMS degli utenti e dirottare i codici di autenticazione a due fattori basati su SMS.
Indice degli argomenti
Analisi delle attività del mobile banking trojan EventBot
Identificato già da marzo scorso dai ricercatori di sicurezza del Cybereason Nocturnus Team, EventBot è in grado di sottrarre informazioni riservate e credenziali di accesso da oltre 200 diverse applicazioni finanziarie, tra cui banche, servizi di trasferimento di denaro e portafogli di criptovaluta come PayPal Business, Unicredit, Poste Italiane, Banca Mediolanum, Banca Gruppo Cariparma, Ing Direct, Barclays, CapitalOne, HSBC, Santander, Revolut, TransferWise e Coinbase, puntando a colpire vittime soprattutto negli Stati Uniti, in Italia, Francia, Spagna, Svizzera e Germania.
Una volta installate dalla vittima, queste false applicazioni richiedono ampie autorizzazioni di accesso alle funzionalità del dispositivo. In particolare, i permessi includono l’accesso alle impostazioni di accessibilità, la possibilità di leggere da un archivio esterno, inviare e ricevere messaggi SMS.
EventBot è inoltre in grado di configurare il sistema operativo per garantirsi l’esecuzione automatica e in background ad ogni avvio di Android.
Qualora l’utente dovesse fornire tutte le autorizzazioni richieste, EventBot avvia immediatamente le sue attività malevoli e, operando come un keylogger, inizia a registrare furtivamente le notifiche relative ad altre applicazioni installate e al contenuto delle finestre aperte nel sistema della vittima.
Inoltre, sfruttando i servizi di accessibilità di Android, è in grado anche di intercettare il PIN di sblocco dello schermo e trasmettere tutti i dati raccolti in formato criptata a un server controllato dai criminal hacker.
Allo stesso modo, EventBot riesce anche a “leggere” il contenuto dei messaggi SMS ricevuti dalla vittima, tra cui anche quelli inviati dai servizi di home banking e quindi a bypassare i sistemi di autenticazione a due fattori offrendo ai criminal hacker libero accesso ai conti bancari della vittima e agli eventuali portafogli di criptovaluta.
Inoltre, il fatto che EventBot riesca ad ottenere pieno accesso alle funzionalità dei dispositivi mobile potrebbe avere gravi conseguenze anche nel caso in cui la vittima dovesse utilizzare questi stessi device per lo scambio di informazioni commerciali della propria organizzazione: è evidente, infatti, che un eventuale sottrazione di tali informazioni potrebbe causare un serio danno di immagine e di reputazione all’azienda.
Come proteggere le proprie credenziali bancarie
Le app dannose utilizzate per diffondere il mobile banking trojan EventBot non dovrebbero essere disponibili sul Google Play Store, ma chiaramente non bisogna mai abbassare la guardia.
“Non deve stupire la specializzazione di EventBot: è pensato per colpire specificatamente le app di home banking di molte delle principali banche internazionali, tra cui banche italiane o molto attive in Italia”, ci dice Alessio Pennasilico, Information & Cyber Security Advisor presso P4I – Partners4Innovation. “Questo conferma, una volta di più, come dietro a questi attacchi si celino organizzazioni criminali che hanno come principale obiettivo approvvigionarsi delle risorse necessarie non solo a semplici appropriazioni indebite o furti, ma anche utili al riciclaggio del denaro, tramite il controllo di molti conti, non per forza con grandi saldi positivi”.
L’analista di P4I fa notare, inoltre, come questo nuovo mobile banking trojan “rivela di nuovo la tendenza ad attacchi non mirati rispetto alle vittime (i correntisti, tanto che questo malware infetta i dispositivi a prescindere dalla presenza delle app prese di mira. Interessante come la criminalità sia sempre aggiornata sulle nuove tecnologie, tanto che nel mirino ci sono anche diverse app pensate per la gestione di valuta digitale, come Bitcoin o Ethereum. Non stupiscono, quindi, le singole feature del malware, spesso già note, ma colpisce la completezza e coerenza del disegno criminoso sottostante, nonché il processo di miglioramento del malware, al fine di renderlo semprepiù efficace”.
Per difendersi da questo nuovo malware è inoltre utile mettere in pratica queste semplici regole di sicurezza:
- tenere il proprio dispositivo mobile sempre aggiornato con gli ultimi aggiornamenti software scaricati da fonti legittime;
- attivare e tenere in funzione la funzionalità Google Play Protect del Play Store;
- non scaricare applicazioni da fonti non ufficiali o non autorizzate: la maggior parte delle app legittime per Android sono disponibili sul Google Play Store;
- valutare sempre attentamente se è il caso di dare permessi eccessivi alle app che si installano sul proprio dispositivo;
- in caso di dubbio, prima di installare l’app, è opportuno controllare la firma dell’APK e l’hash utilizzando servizi online specializzati come VirusTotal;
- infine, è sempre buona norma utilizzare soluzioni di rilevamento delle minacce mobili per una maggiore sicurezza.
