L’ampia diffusione di smartphone e tablet ha spinto le banche ad usare i dispositivi mobile degli utenti per introdurre un secondo fattore di autenticazione per l’accesso ai servizi di banking on-line: il PIN di verifica inviato via SMS è un esempio. I cybercriminali, ovviamente, non sono rimasti a guardare e hanno pensato bene di equipaggiare le loro famiglie di Banking Trojan con le relative componenti mobile, dando così vita ad una nuova tipologia di malware: i Mobile Banking Trojan.
I Banking Trojan, lo ricordiamo, sono una particolare categoria di malware che consentono ai cybercriminali di rubare le credenziali bancarie delle vittime e, più in generale, di effettuare frodi online, provocando danni per miliardi di dollari. L’efficacia di questi trojan si basa su quelli che vengono comunemente chiamati attacchi man in the browser tramite i quali, utilizzando tecniche di code injection, i cybercriminali riescono a prendere il controllo del browser della vittima (Chrome, Firefox, Edge, IE) ed intercettare i dati inseriti dalla vittima nei form delle pagine web, tra cui credenziali di accesso ai servizi di online banking.
Con la nuova variante dei Mobile Banking Trojan, i cybercriminali sono ora in grado di rubare dati sensibili e codici PIN, rendendo vana l’autenticazione in due fattori. Nello specifico questi mobile trojan intercettano gli SMS ricevuti dalla banca, li inoltrano ai cybercriminali e nascondono alla vittima le notifiche della ricezione degli SMS.
Indice degli argomenti
Mobile Banking Trojan: come avviene l’infezione
Per quanto possa sembrare strano, nella stragrande maggioranza dei casi questi trojan vengono scaricati e installati direttamente dagli utenti. I cybercriminali riescono infatti a mascherare i trojan in modo da farli sembrare delle app legittime ed inducono gli utenti ad installarli.
Uno scenario di attacco comune è quello in cui la componente mobile lavora in tandem con la classica versione per desktop. In questo caso il primo step è proprio quello di infettare il computer della vittima con un trojan in grado di effettuare attacchi WebInject, ovvero in grado non solo di rubare informazioni ma anche di modificare il contenuto delle pagine web visitate.
Una volta fatto ciò, quando la vittima visita la pagina web della propria banca, il trojan ruba le credenziali bancarie ed inserisce nella pagina HTML un form da compilare che richiede, fingendosi una contromisura di sicurezza, il numero di telefono della vittima. Il numero di telefono viene quindi inviato al server di controllo remoto del malware. A questo punto la vittima riceve un SMS con un link per porta al download di un’app appositamente modificata. In alternativa al form, i cybercriminali inseriscono nella pagina HTML un QR code che, quando scansionato, scarica l’app infetta. In entrambi i casi, l’app installata si finge anch’essa essere una nuova funzionalità della banca, ma in realtà nasconde la componente mobile del trojan. Il telefono della vittima viene quindi compromesso. I cybercriminali sono così in grado di evadere l’autenticazione in due fattori: l’app precedentemente installata può intercettare gli SMS ricevuti dalla banca e contenenti i codici di accesso. Una volta fatto questo i cybercriminali possiedono tutte le informazioni per eseguire transazioni finanziarie fraudolente.
Uno scenario d’attacco del Mobile Banking Trojan
Un altro scenario comune è quello del repackaging. I cybercriminali modificano app esistenti, ad esempio giochi popolari nei principali app store, inserendo al loro interno i trojan e pubblicano la nuova versione dell’app su uno store alternativo. Solitamente, questa operazione viene effettuata su app a pagamento, che vengono poi rilasciate gratis su store alternativi in modo da attrarre utenti non disposti a pagare l’app originale. Il costo da pagare però in questo caso è ben più alto.
Una volta infettato il dispositivo, oltre ad intercettare gli SMS, i trojan iniziano a rubare quanti più dati possibile, come ad esempio contatti, elenco delle applicazioni installate, registro delle chiamate della vittima. Per rubare ulteriori credenziali essi utilizzano una tecnica nota come overlay: quando la vittima avvia applicazioni come ad esempio il Google Play Store, i trojan sovrappongono una pagina finta che viene progettata ad-hoc per ottenere le credenziali di accesso.
Le varianti più temibili di Mobile Banking Trojan
Tra le prime famiglie di Mobile Banking Trojan rilevate vi sono ZitMo (Zeus in the Mobile), SpitMo (SpyEye in the Mobile) e CitMo (Citadel in the Mobile), rispettivamente le componenti mobile dei noti Zeus, SpyEye e Citadel, che invece infettano computer Windows. Attualmente tra le famiglie più diffuse troviamo OpFake, Asacub, Svpeng e Faketoken.
Sebbene l’Apple Store ed il Google Play Store impieghino una serie di protezioni per identificare applicazioni malevole, alcune app dannose sono riuscite ad infiltrarsi negli store in diverse occasioni, ingannando le misure di sicurezza e mostrando agli utenti delle funzionalità legittime. Ad esempio, il trojan XcodeGhost ha compromesso oltre 40 app iOS legittime, inclusa la famosissima app di messaggistica cinese WeChat. Più recentemente invece il trojan BankBot è stato rilevato nel Google Play Store, nascosto in diverse applicazioni legittime.
Ecco come difendersi dai Mobile Banking Trojan
Per questa nuova variante mobile dei trojan valgono le regole generali di protezione valide per tutte le tipologie di virus. In particolare, poi, è utile seguire anche queste best practice:
- non installare app distribuite tramite SMS, e-mail o annunci;
- non eseguire il jailbreak di iPhone o il rooting di dispositivi Android. Eseguire queste operazioni significa indebolire i sistemi di protezione implementati dal sistema operativo;
- installare solo app originali e scaricate dal Google Play Store o dall’Apple Store;
- non abilitare l’opzione per installare app da sorgenti sconosciute (Android);
- abilitare l’opzione di scan automatico che identifica periodicamente possibili minacce presenti sul dispositivo (Android);
- verificare i permessi richiesti dalle app durante l’installazione. Non installare app che richiedono permessi sospetti e non necessari per il funzionamento dell’app. Prestate particolare attenzione alle app che richiedono l’autorizzazione per accedere agli SMS;
- installare prontamente aggiornamenti e security patch delle app del sistema operativo;
- in caso di attacco contattare immediatamente la banca per bloccare le carte e contestare le transazioni in questione. In alcuni casi è possibile che le transazioni non siano ancora avvenute.
