Tero Vesalainen/Shutterstock.com
Gli hacker, purtroppo, escogitano sempre nuovi modi intelligenti per rubare o accedere a informazioni sicure. Alcuni malware Android rilevati di recente , soprannominato Vultur, sta utilizzando un nuovo metodo sfacciato per raccogliere le credenziali di accesso per oltre 100 app bancarie e crittografiche.
Il malware Trojan ad accesso remoto (RAT), Vultur, ha preso il nome dalla società di sicurezza ThreatFabric con sede ad Amsterdam. Utilizza un’implementazione reale di condivisione dello schermo VNC per registrare lo schermo di un dispositivo, il registro delle chiavi e rispecchiare tutto sul server dell’attaccante. Gli utenti inseriscono inconsapevolmente le proprie credenziali in quella che ritengono essere un’app affidabile e gli aggressori quindi raccolgono le informazioni, accedono alle app su un dispositivo separato e prelevano il denaro.
Questo metodo di registrazione dello schermo è diverso dai precedenti trojan bancari per Android, che si basavano su una strategia di sovrapposizione HTML. Vulture fa anche molto affidamento sull’abuso dei servizi di accessibilità sul sistema operativo del dispositivo per ottenere le autorizzazioni necessarie che gli consentiranno di accedere a ciò di cui ha bisogno per eseguire con successo la raccolta delle credenziali.
Nel report di ThreatFabric, abbiamo appreso che gli autori delle minacce sono stati in grado di raccogliere un elenco delle app a cui Vulture stava prendendo di mira, che sono state diffuse tramite il Google Play Store. Italia, Spagna e Australia sono state le regioni che hanno avuto il maggior numero di istituti bancari colpiti da Vultur. Sono stati presi di mira anche diversi portafogli crittografici.
“Le minacce bancarie sulla piattaforma mobile non si basano più solo su noti attacchi overlay, ma si stanno evolvendo in malware simile a RAT, ereditando trucchi utili come il rilevamento di applicazioni in primo piano per avviare la registrazione dello schermo”, hanno scritto i ricercatori di ThreatFabric. “Ciò porta la minaccia a un altro livello, poiché tali funzionalità aprono la porta alle frodi sul dispositivo, aggirando il rilevamento basato su MO di phishing che richiedono frodi eseguite da un nuovo dispositivo. Con Vultur, possono verificarsi frodi sul dispositivo infetto della vittima. Questi attacchi sono scalabili e automatizzati poiché le azioni per eseguire frodi possono essere scriptate sul back-end del malware e inviate sotto forma di comandi in sequenza.”
Se l’utente scarica e apre una delle applicazioni che Vulture è targeting, il Trojan avvia quindi la sessione di registrazione dello schermo. Gli utenti che si accorgono e cercano di eliminare l’app dannosa scopriranno rapidamente che non possono: un bot all’interno del malware fa automaticamente clic sul pulsante Indietro e rimanda l’utente alla schermata delle impostazioni principali.
L’unico vantaggio che hanno gli utenti è quello di prestare attenzione al pannello delle notifiche, che mostrerà che un’app chiamata”Protection Guard”sta proiettando lo schermo. Per un resoconto più dettagliato su Vultur, ti consigliamo di leggere il rapporto di ThreatFabric. Altrimenti, ricordati di scaricare solo app affidabili.
tramite Ars Technica
