ESET ha scoperto un particolare malware per Android che può sottrarre le credenziali degli utenti che accedono ai loro conti bancari attraverso i dispositivi mobile.
Il malware, rilevato dai sistemi di sicurezza ESET come Android/Spy.Agent.SI, si presenta alle vittime come una falsa schermata di autenticazione della loro applicazione bancaria e blocca lo schermo fin quando non si inseriscono nome utente e password. Usando le credenziali rubate, i ladri possono autenticarsi da remoto al conto delle vittima e trasferirne i soldi. Possono addirittura dirottare i messaggi SMS indirizzati al dispositivo infettato ed eliminarli. Questo consente alle transazioni fraudolente di superare l’autenticazione a due fattori basata su SMS, senza che il proprietario del dispositivo sospetti di nulla.
Android/Spy.Agent.SI si diffonde attraverso un applicazione Flash Player fasulla. Dopo il download e l’installazione, l’app richiede i diritti di amministratore sul dispositivo, per proteggere se stessa da eventuali tentativi di disinstallarla.
Successivamente, il malware verifica che ci siano applicazioni bancarie installate sul dispositivo, ed in caso positivo, riceverà dal suo server di comando e controllo delle false schermate di autenticazione per ogni app bancaria presente nel dispositivo. Ogni volta che la vittima esegue un’app bancaria, gli apparirà una falsa schermata di autenticazione davanti a quella dell’app legittima, che bloccherà lo schermo fin quando la vittima non invierà le proprie credenziali bancarie.
Fortunatamente questo malware è ancora in fase di sviluppo. Se le prime versioni erano semplici, e i loro fini malevoli facili da identificare, le versioni più recenti presentano avanzate funzionalità di codifica e offuscamento.
La campagna scoperta dai ricercatori ESET interessa per ora 20 delle maggiori banche di Australia, Nuova Zelanda e Turchia, ma l’attacco è talmente vasto che potrà essere facilmente indirizzato verso qualsiasi altra banca.
Informazioni aggiuntive
Rilevazione ESET:
Android/Spy.Agent.SI
| Server C&C: |
|---|
| http://94.198.97.202 |
| http://46.105.95.130 |
| http://181.174.164.138 |
| Server di download: |
|---|
| http://flashplayeerupdate.com/download/ |
| http://adobeflashplaayer.com/download/ |
| http://adobeuploadplayer.com/download/ |
| http://adobeplayerdownload.com/download/ |
| http://adobeupdateplayer.com/download/ |
| http://adobeupdateplayeer.com/download/ |
| http://adobeupdateflash11.com/download/ |
Banche colpite:
Westpac, Bendigo Bank, Commonwealth Bank, St. George Bank, National Australia Bank, Bankwest, Me Bank, ANZ Bank, ASB Bank, Bank of New Zealand, Kiwibank, Wells Fargo, Halkbank, Yapı Kredi Bank, VakıfBank, Garanti Bank, Akbank, Finansbank, Türkiye İş Bankası and Ziraat Bankası.
| Nomi dei pacchetti di installazione: |
|---|
| org.westpac.bank |
| com.westpac.cashtank |
| au.com.westpac.onlineinvesting |
| org.banking.westpac.payway |
| com.rev.mobilebanking.westpac |
| com.westpac.illuminate |
| com.bendigobank.mobile |
| com.commbank.netbank |
| org.stgeorge.bank |
| au.com.nab.mobile |
| au.com.bankwest.mobile |
| com.akbank.android.apps.akbank_direkt |
| com.finansbank.mobile.cepsube |
| finansbank.enpara |
| com.pozitron.iscep |
| com.wf.wellsfargomobile |
| com.wf.wellsfargomobile.tablet |
| com.wellsFargo.ceomobile |
| com.wellsfargo.mobile.merchant |
| com.tmobtech.halkbank |
| com.ziraat.ziraatmobil |
| au.com.mebank.banking |
| com.anz.android.gomoney |
| nz.co.anz.android.mobilebanking |
| nz.co.westpac |
| nz.co.asb.asbmobile |
| nz.co.bnz.droidbanking |
| nz.co.kiwibank.mobile |
| com.ykb.android |
| com.vakifbank.mobile |
| com.garanti.cepsubesi |
| biz.mobinex.android.apps.cep_sifrematik |
| com.paypal.android.p2pmobile |
| com.ebay.mobile |
| com.skype.raider |
| com.whatsapp |
| com.google.android.googlequicksearchbox |
| com.android.vending |
| com.google.android.music |
| com.google.android.apps.plus |
| com.android.chrome |
| com.google.android.apps.maps |
| com.google.android.youtube |
| com.google.android.apps.photos |
| com.google.android.apps.books |
| com.google.android.apps.docs |
| com.google.android.apps.docs.editors.docs |
| com.google.android.videos |
| com.google.android.gm |
| Hash: |
|---|
| C31E5E31210B08BA07AC6570814473C963A2EF81 |
| 6CAD2250EDDF7EDDF0B4D4E7F0B5D24B647CB728 |
| 4A788D05DD8849CD60073F15255C166F06611475 |
| EE88D05CF99D8C534FBA60D1DA9045FB7526343A |
| 26A2B328F194B6B75B2CC72705DC928A4260B7E7 |
| 4AD1DBB43175A3294A85957E368C89A5E34F7B8C |
| DB228BB5760BD7054E5E0A408E0C957AAC72A89F |
| 266B572B093DB550778BA7824E32D88639B78AFC |
| E4FA83A479642792BC89CA3C1553883066A19B6C |
| 644644A30DE78DDCD50238B20BF8A70548FF574C |
| F1AAAE29071CBC23C33B4282F1C425124234481C |
| CAC078C80AD1FF909CC9970E3CA552A5865C7963 |
| 1C8D0E7BB733FBCEB05C40E0CE26288487655738 |
| FE6AC1915F8C215ECEC227DA6FB341520D68A9C7 |
| BD394E0E626CE74C938DDDF0005C074BC8C5249D |
| D7E0AFCE7D2C4DE8182C353C7CBA3FAC607EAFC9 |
| A804E43C3AFF3BDAEE24F8ABF460BAA8442F5372 |
| 0EF56105CF4DBF1DAE1D91ECE62FC6C4FF8AD05F |
| 9FD295721C1FF87BC862D19F6195FDDE090524D9 |
| 57D0870E68AC1B508BC83F24E8A0EBC624E9B104 |
| 521F9767104C6CBB5489544063FCE555B94025A6 |
| E5F536408DBB66842D7BB6F0730144FDD877A560 |
| 3FA6010874D39B050CA6CA380DAD33CA49A8B821 |
Lascia un commento