Il team di McAfee Mobile Malware Research ha identificato un malware che sta colpendo il Messico. Si presenta come uno strumento di sicurezza per le operazioni bancarie o come un’app bancaria progettata per segnalare sportelli bancomat fuori servizio. In entrambi i casi, il malware sfrutta il senso di urgenza che viene generalmente creato dagli strumenti di prevenzione delle frodi per spingere le potenziali vittime a usarli. Questo malware può rubare fattori di autenticazione cruciali per accedere ai conti delle vittime negli istituti finanziari presi di mira in Messico.
McAfee Mobile Security ha identificato questa minaccia come Android/Banker.BT insieme alle sue varianti.
Come si diffonde questo malware?
Il malware è distribuito da una pagina di phishing dannosa che fornisce consigli sulla sicurezza delle operazioni bancarie (copiati dal sito originale della banca) e raccomanda di scaricare le app dannose come strumento di sicurezza o come app per segnalare sportelli bancomat fuori servizio. È molto probabile che a questa minaccia sia associata una campagna di smishing (phishing via SMS) come parte del metodo di distribuzione. È inoltre possibile che le vittime vengano contattate direttamente tramite telefonate ingannevoli fatte dai criminali, un evento piuttosto comune in America Latina. Tuttavia, questa minaccia non è stata ancora stata identificata su Google Play.
Ecco come proteggersi
Durante la pandemia, le banche hanno adottato nuovi metodi di interazione con i clienti. Questi rapidi cambiamenti hanno fatto sì che i clienti fossero più disposti ad accettare nuove procedure e a installare nuove app come parte della “nuova normalità” per interagire a distanza. I criminali informatici sono sempre attenti a queste evoluzioni e hanno quindi introdotto nuove truffe e attacchi di phishing che sembrano più credibili di quelli del passato mettendo a rischio i clienti.
Fortunatamente, McAfee Mobile Security è in grado di rilevare questa nuova minaccia come Android/Banker.BT. Per proteggerti da questa e altre minacce simili:
- Utilizza software di sicurezza sui tuoi dispositivi mobili
- Pensaci due volte prima di scaricare e installare app sospette, specialmente se richiedono autorizzazioni per l’accesso agli SMS e alle notifiche.
- Utilizza gli app store ufficiali, ma non fidarti mai ciecamente perché il malware può essere distribuito anche su questi store, quindi controlla le autorizzazioni, leggi le recensioni e cerca informazioni sullo sviluppatore, se disponibili
- Utilizza app che prediligono un token come secondo fattore di autenticazione (hardware o software) rispetto all’autenticazione tramite messaggi SMS
Ti interessano i dettagli? Leggi qui un approfondimento su questo malware.
Comportamento: Indurre la vittima a fornire le proprie credenziali
Una volta che l’app dannosa è installata e avviata, la prima attività mostra un messaggio in spagnolo che spiega lo scopo fasullo dell’app:
– Strumento fasullo per segnalare movimenti fraudolenti e creare un senso di urgenza:
“La <nome della banca> ha creato uno strumento che consente di bloccare qualsiasi movimento sospetto. Tutte le operazioni indicate nell’app sono ancora in sospeso. Se non riesci a bloccare i movimenti sconosciuti entro 24 ore, gli importi saranno addebitati automaticamente sul tuo conto.
Al termine del processo di blocco, riceverai un messaggio SMS con i dettagli delle operazioni bloccate.”
– Nel caso dello strumento fasullo creato nel quadro della pandemia per segnalare problemi con gli sportelli bancomat o per la richiesta di una nuova carta di credito, viene proposto un testo simile che induce negli utenti un falso senso di sicurezza:
“Come misura sanitaria nel quadro della pandemia di Covid-19 è stata creata questa nuova opzione. Riceverai un ID via SMS per la tua segnalazione e potrai quindi richiedere la tua nuova carta in qualsiasi filiale o riceverla gratuitamente al tuo indirizzo di casa registrato. Avviso. Non richiederemo mai i tuoi dati sensibili come NIP o CVV.” Ciò fornisce credibilità all’app poiché sta affermando che non chiederà dati sensibili; tuttavia, chiederà le credenziali per accedere alla banca online.
Se le vittime toccano “Ingresar” (Accedi), il trojan bancario chiede le autorizzazioni per SMS e avvia un’attività per l’immissione dell’ID utente o del numero di conto seguito dalla password. In background, la password viene trasmessa al server del criminale senza che le credenziali fornite siano verificate come valide o reindirizzate al sito originale della banca come accade con molti altri trojan bancari.
Infine, la truffa prevede che venga visualizzato un elenco prefissato di transazioni fasulle in modo che l’utente possa bloccarle. Tuttavia a questo punto i truffatori sono già in possesso dei dati di accesso della vittima e possono accedere ai messaggi SMS del suo dispositivo per rubare il secondo fattore di autenticazione.
Nel caso dello strumento fasullo per richiedere una nuova carta, l’app mostra un messaggio che alla fine indica “Abbiamo creato questa misura sanitaria Covid-19 e ti invitiamo a vedere i nostri consigli antifrode per apprendere come proteggere il tuo account”.
In background il malware contatta il server di comando e controllo che opera in hosting nello stesso dominio utilizzato per la distribuzione e invia le credenziali degli utenti e tutti i loro messaggi SMS tramite https come parametri di query (come parte dell’URL) e questo può determinare la memorizzazione dei dati sensibili nei file di registro del server Web e non solo nella destinazione finale dell’autore dell’attacco. In genere, questo tipo di malware non gestisce i dati rubati in modo efficiente, quindi non sorprende che queste informazioni possano trapelare o essere compromesse da altri gruppi criminali, cosa che rende questo tipo di minacce ancora più rischiose per le vittime. La figura 8 illustra lo screenshot parziale di una pagina esposta che contiene la struttura per visualizzare i dati rubati.
Questo mobile banker è interessante perché è una truffa sviluppata da zero che non è collegata a framework di trojan bancari conosciuti e più potenti che sono commercializzati sul mercato nero tra i criminali informatici. Si tratta chiaramente di uno sviluppo locale che in futuro potrebbe diventare una minaccia più seria poiché nel codice decompilato appare una classe dei servizi di accessibilità non implementata, il che porta a pensare che gli autori del malware stanno cercando di emulare il comportamento dannoso di famiglie di malware più mature. Questo malware non offre alcuna tecnica per evitarne l’analisi, il rilevamento o la decompilazione, segno che è ancora in una fase iniziale di sviluppo.
IoC
SHA256:
- 84df7daec93348f66608d6fe2ce262b7130520846da302240665b3b63b9464f9
- b946bc9647ccc3e5cfd88ab41887e58dc40850a6907df6bb81d18ef0cb340997
- 3f773e93991c0a4dd3b8af17f653a62f167ebad218ad962b9a4780cb99b1b7e2
- 1deedb90ff3756996f14ddf93800cd8c41a927c36ac15fcd186f8952ffd07ee0
Domini:
- https[://]appmx2021.com