Nuova truffa informatica che sfrutta il Covid-19 per rubare le credenziali finanziarie

Il team di McAfee Mobile Malware Research ha identificato un malware che sta colpendo il Messico. Si presenta come uno strumento di sicurezza per le operazioni bancarie o come un’app bancaria progettata per segnalare sportelli bancomat fuori servizio. In entrambi i casi, il malware sfrutta il senso di urgenza che viene generalmente creato dagli strumenti di prevenzione delle frodi per spingere le potenziali vittime a usarli. Questo malware può rubare fattori di autenticazione cruciali per accedere ai conti delle vittime negli istituti finanziari presi di mira in Messico.

McAfee Mobile Security ha identificato questa minaccia come Android/Banker.BT insieme alle sue varianti.

Come si diffonde questo malware?

Il malware è distribuito da una pagina di phishing dannosa che fornisce consigli sulla sicurezza delle operazioni bancarie (copiati dal sito originale della banca) e raccomanda di scaricare le app dannose come strumento di sicurezza o come app per segnalare sportelli bancomat fuori servizio. È molto probabile che a questa minaccia sia associata una campagna di smishing (phishing via SMS) come parte del metodo di distribuzione. È inoltre possibile che le vittime vengano contattate direttamente tramite telefonate ingannevoli fatte dai criminali, un evento piuttosto comune in America Latina. Tuttavia, questa minaccia non è stata ancora stata identificata su Google Play.

Ecco come proteggersi

Durante la pandemia, le banche hanno adottato nuovi metodi di interazione con i clienti. Questi rapidi cambiamenti hanno fatto sì che i clienti fossero più disposti ad accettare nuove procedure e a installare nuove app come parte della “nuova normalità” per interagire a distanza. I criminali informatici sono sempre attenti a queste evoluzioni e hanno quindi introdotto nuove truffe e attacchi di phishing che sembrano più credibili di quelli del passato mettendo a rischio i clienti.

Fortunatamente, McAfee Mobile Security è in grado di rilevare questa nuova minaccia come Android/Banker.BT. Per proteggerti da questa e altre minacce simili:

  • Utilizza software di sicurezza sui tuoi dispositivi mobili
  • Pensaci due volte prima di scaricare e installare app sospette, specialmente se richiedono autorizzazioni per l’accesso agli SMS e alle notifiche.
  • Utilizza gli app store ufficiali, ma non fidarti mai ciecamente perché il malware può essere distribuito anche su questi store, quindi controlla le autorizzazioni, leggi le recensioni e cerca informazioni sullo sviluppatore, se disponibili
  • Utilizza app che prediligono un token come secondo fattore di autenticazione (hardware o software) rispetto all’autenticazione tramite messaggi SMS

Ti interessano i dettagli? Leggi qui un approfondimento su questo malware.

Figure 1- Phishing malware distribution site that provides security tips

Figura 1- Sito di distribuzione di malware di phishing che fornisce consigli sulla sicurezza

Comportamento: Indurre la vittima a fornire le proprie credenziali

Una volta che l’app dannosa è installata e avviata, la prima attività mostra un messaggio in spagnolo che spiega lo scopo fasullo dell’app:

– Strumento fasullo per segnalare movimenti fraudolenti e creare un senso di urgenza:

Figure 2- Malicious app introduction that try to lure users to provide their bank credentials

Figura 2- Presentazione dell’app dannosa che cerca di indurre gli utenti a fornire le proprie credenziali bancarie

“La <nome della banca> ha creato uno strumento che consente di bloccare qualsiasi movimento sospetto. Tutte le operazioni indicate nell’app sono ancora in sospeso. Se non riesci a bloccare i movimenti sconosciuti entro 24 ore, gli importi saranno addebitati automaticamente sul tuo conto.

Al termine del processo di blocco, riceverai un messaggio SMS con i dettagli delle operazioni bloccate.”

– Nel caso dello strumento fasullo creato nel quadro della pandemia per segnalare problemi con gli sportelli bancomat o per la richiesta di una nuova carta di credito, viene proposto un testo simile che induce negli utenti un falso senso di sicurezza:

Figure 3- Malicious app introduction of ATM reporting variant that uses the Covid-19 pandemic as pretext to lure users into provide their bank credentials

Figura 3- Presentazione dell’app dannosa per la segnalazione dei disservizi bancomat che utilizza la pandemia di Covid-19 come pretesto per indurre gli utenti a fornire le proprie credenziali bancarie

“Come misura sanitaria nel quadro della pandemia di Covid-19 è stata creata questa nuova opzione. Riceverai un ID via SMS per la tua segnalazione e potrai quindi richiedere la tua nuova carta in qualsiasi filiale o riceverla gratuitamente al tuo indirizzo di casa registrato. Avviso. Non richiederemo mai i tuoi dati sensibili come NIP o CVV.” Ciò fornisce credibilità all’app poiché sta affermando che non chiederà dati sensibili; tuttavia, chiederà le credenziali per accedere alla banca online.

Se le vittime toccano “Ingresar” (Accedi), il trojan bancario chiede le autorizzazioni per SMS e avvia un’attività per l’immissione dell’ID utente o del numero di conto seguito dalla password. In background, la password viene trasmessa al server del criminale senza che le credenziali fornite siano verificate come valide o reindirizzate al sito originale della banca come accade con molti altri trojan bancari.

Figure 4- snippet of user entered password exfiltration

Figura 4- Estrazione della password immessa dall’utente

Infine, la truffa prevede che venga visualizzato un elenco prefissato di transazioni fasulle in modo che l’utente possa bloccarle. Tuttavia a questo punto i truffatori sono già in possesso dei dati di accesso della vittima e possono accedere ai messaggi SMS del suo dispositivo per rubare il secondo fattore di autenticazione.

Figure 5- Fake list of fraudulent transactions

Figura 5- Falso elenco di transazioni fraudolente

Nel caso dello strumento fasullo per richiedere una nuova carta, l’app mostra un messaggio che alla fine indica “Abbiamo creato questa misura sanitaria Covid-19 e ti invitiamo a vedere i nostri consigli antifrode per apprendere come proteggere il tuo account”.

Figure 6- Final view after the malware already obtained bank credentials reinforcing the concept that this application is a tool created under the covid-19 context.

Figura 6- Ultima schermata mostrata dopo che il malware ha già ottenuto le credenziali bancarie per rafforzare l’idea che l’app è uno strumento creato nel quadro della pandemia Covid-19.

In background il malware contatta il server di comando e controllo che opera in hosting nello stesso dominio utilizzato per la distribuzione e invia le credenziali degli utenti e tutti i loro messaggi SMS tramite https come parametri di query (come parte dell’URL) e questo può determinare la memorizzazione dei dati sensibili nei file di registro del server Web e non solo nella destinazione finale dell’autore dell’attacco. In genere, questo tipo di malware non gestisce i dati rubati in modo efficiente, quindi non sorprende che queste informazioni possano trapelare o essere compromesse da altri gruppi criminali, cosa che rende questo tipo di minacce ancora più rischiose per le vittime. La figura 8 illustra lo screenshot parziale di una pagina esposta che contiene la struttura per visualizzare i dati rubati.

Figure 7 - Malicious method related to exfiltration of all SMS Messages from the victim's device.

Figura 7 – Metodo nocivo correlato all’estrazione di tutti i messaggi SMS dal dispositivo della vittima.

Intestazioni della tabella: Data, Da, Corpo del messaggio, Utente, Password, Id:

Figure 8 – Exposed page in the C2 that contains a table to display SMS messages captured from the infected devices.

Figura 8 – Pagina esposta nel C2 che contiene una tabella per visualizzare i messaggi SMS acquisiti dai dispositivi infettati.

Questo mobile banker è interessante perché è una truffa sviluppata da zero che non è collegata a framework di trojan bancari conosciuti e più potenti che sono commercializzati sul mercato nero tra i criminali informatici. Si tratta chiaramente di uno sviluppo locale che in futuro potrebbe diventare una minaccia più seria poiché nel codice decompilato appare una classe dei servizi di accessibilità non implementata, il che porta a pensare che gli autori del malware stanno cercando di emulare il comportamento dannoso di famiglie di malware più mature. Questo malware non offre alcuna tecnica per evitarne l’analisi, il rilevamento o la decompilazione, segno che è ancora in una fase iniziale di sviluppo.

IoC

SHA256:

  • 84df7daec93348f66608d6fe2ce262b7130520846da302240665b3b63b9464f9
  • b946bc9647ccc3e5cfd88ab41887e58dc40850a6907df6bb81d18ef0cb340997
  • 3f773e93991c0a4dd3b8af17f653a62f167ebad218ad962b9a4780cb99b1b7e2
  • 1deedb90ff3756996f14ddf93800cd8c41a927c36ac15fcd186f8952ffd07ee0

Domini:

  • https[://]appmx2021.com
FacebookLinkedInTwitterEmailCopy Link

Mantieniti al corrente

Seguici per essere sempre al corrente delle notizie di McAfee e delle ultime minacce alla sicurezza per consumer e dispositivi mobili.

FacebookTwitterInstagramLinkedINYouTubeRSS

More from McAfee Labs

Back to top