I ricercatori ESET hanno identificato una nuova variante del Trojan bancario BankBot, nascosto su Google Play dietro una falsa versione del gioco Jewels Star.
Individuato già all’inizio del 2017, BankBot si è evoluto nel corso dell’anno, ripresentandosi in diverse versioni sia dentro che fuori da Google Play. La variante rilevata dai ricercatori di ESET su Google Play ad inizio settembre è la prima che è riuscita a combinare le ultime funzioni evolute di BankBot: il sistema di offuscamento del codice migliorato, una sofisticata funzionalità di esecuzione del payload e un complesso meccanismo di infezione che sfrutta il Servizio Accessibilità di Android.
L’uso improprio del servizio di Accessibilità di Android è già stato osservato in precedenza in altri Trojan, nella maggior parte dei casi non in Google Play. Le recenti analisi di SfyLabs e Zscaler hanno confermato che i criminali che diffondono il BankBot erano già riusciti a caricare un’applicazione che riesce a sfruttare l’accessibilità direttamente su Google Play, solo che questa non presentava le funzionalità del malware bancario.
A chiudere il cerchio e a comprendere anche le funzionalità che caratterizzano la payload di un malware, è stato immesso questo Trojan su Google Play nascosto dietro una falsa versione del gioco Jewels Star Classic (è importante notare che i criminali abbiano usato impropriamente il nome della serie di giochi legittimi Jewels Star dello sviluppatore ITREEGAMER, che non è in alcun modo legata a questa campagna malware).
Abbiamo segnalato al team di sicurezza di Google l’app pericolosa, che è stata installata da oltre 5000 utenti prima di essere rimossa dallo store.
Come funziona?
Quando un ignaro utente scarica Jewels Star Classic dello sviluppatore GameDevTony (Fig. 1), ottiene un gioco Android perfettamente funzionante, solo con alcuni extra nascosti – la payload del malware bancario che si nasconde dietro le risorse del gioco e un servizio pericoloso in attesa di essere innescato dopo un determinato periodo di tempo.
Figura 1 – L’app pericolosa scoperta su Google Play
Il servizio malevolo viene innescato dopo 20 minuti dalla prima esecuzione di Jewels Star Classic. Il dispositivo infettato mostra un avviso che richiede all’utente di abilitare qualcosa chiamato “Google Service” (nota: l’avviso malevolo compare indipendentemente dalle attività che l’utente sta svolgendo e senza alcuna apparente connessione con il gioco).
Dopo aver cliccato su OK, che risulta l’unico modo per far scomparire l’avviso, l’utente viene spostato sul menu di Accessibilità di Android, da dove si gestiscono le funzionalità di accessibilità. Oltre a quelli legittimi comparirà un nuovo servizio “Google Service”, creato dal malware, tra quelli elencati. Cliccandoci sopra verrà mostrata una descrizione presa dai Termini del Servizio originali di Google.
Figura 2 – Avviso che richiede all’utente di abilitare “Google Service”
Figura 3 – “Google Service” elencato tra i servizi dell’Accessibilità di Android
Figura 4 – Descrizione del servizio malevolo presa dai Termini del Servizio di Google
Quando l’utente decide di attivare il servizio, vedrà comparire un elenco di richieste di permesso: Osservare le tue azioni, Richiamare il contenuto delle finestre, Avviare Explore con il tocco, Attivare l’accessibilità Web migliorata ed Esegui gesti (Fig. 5).
Cliccando su OK si forniscono i permessi di accessibilità al servizio del malware. Garantendo questi permessi, l’utente da letteralmente la massima libertà al malware di svolgere qualsiasi attività pericolosa.
Figura 5 – Permessi richiesti per l’attivazione di “Google Service”
In pratica, accettando i permessi, all’utente viene negato l’accesso al proprio schermo per un breve periodo a causa di un “aggiornamento del servizio Google” – naturalmente non avviato da Google- in esecuzione in primo piano (Fig. 6).
Figura 6 – Schermata che copre le attività pericolose
Il malware usa questa schermata per coprire le successive attività – cliccando come fosse l’utente grazie ai permessi di accessibilità ottenuti precedentemente. Mentre l’utente attende il completamento del finto aggiornamento, il malware procede con le sue seguenti attività:
- consentire l’installazione di app da sorgenti sconosciute
- installare BankBot ed eseguirlo
- attivare i permessi di amministratore sul dispositivo per BankBot
- impostare BankBot come app predefinita per gli SMS
- ottenere i permessi per tracciare altre app
Dopo aver completato queste attività, il malware può procedere con il suo obiettivo successivo: sottrarre i dettagli della carta di credito della vittima. A differenza di altre varianti di BankBot che si interessano di una vasta lista di applicazioni bancarie e mostrano dei finti moduli di autenticazione nel tentativo di ingannare gli utenti e rubargli le credenziali, questa si concentra esclusivamente su Google Play – un app preinstallata su tutti i dispositivi degli utenti Android.
Quando l’utente avvia l’app di Google Play, BankBot si sostituisce all’app legittima mostrando una falsa richiesta di inserimento delle informazioni della carta di credito dell’utente. (Fig. 7)
Figura 7 – Falsa richiesta delle informazioni della carta di credito dell’utente
Se l’utente viene ingannato e inserisce i dati della sua carta di credito nel modulo, i criminali in pratica hanno vinto. Grazie all’impostazione che consente a BankBot di configurarsi come app predefinita per i messaggi, il malware può intercettare tutte le comunicazioni SMS del dispositivo infettato. Ciò consente ai criminali di superare addirittura il sistema di autenticazione a due fattori basato su SMS che protegge il conto bancario della vittima – l’ultimo potenziale ostacolo tra loro e i soldi della vittima.
Cosa lo rende così pericoloso?
In questa campagna, i truffatori hanno utilizzato un insieme di tecniche sempre più spesso usate dagli autori di malware per Android – lo sfruttamento del Servizio Accessibilità di Android, il proporsi come Google e l’impostazione di un timer che ritarda l’inizio di attività dannose per eludere le misure di sicurezza di Google.
Queste tecniche combinate fra loro rendono davvero difficile riconoscere la minaccia in tempo. Dato che il malware si presenta come Google e attende 20 minuti prima di visualizzare il suo avviso, la vittima ha poche possibilità di collegare la sua attività all’applicazione Jewel Star Classic che ha recentemente scaricato. Oltre a questo, i molti nomi che il malware utilizza per i suoi processi di infezione complicano in modo significativo gli sforzi per individuarlo e rimuoverlo manualmente.
Come pulire un dispositivo infettato?
Se ultimamente hai scaricato molte app da Google Play, potresti avere il dubbio che il tuo dispositivo sia stato colpito da questo malware.
Controllare la presenza di Jewels Star Classic non è sufficiente, i criminali cambiano spesso l’app usata per diffondere il BankBot. Per assicurarti quindi che il tuo dispositivo non sia stato infettato, ti raccomandiamo di porre attenzione ai seguenti indicatori:
- La presenza di un’app chiamata “Google Update” (mostrata nella Fig. 8 e che si trova in Impostazioni > App/Gestione Applicazioni > Google Update)
- “System update” tra gli amministratori attivi del dispositivo (mostrato nella Fig. 9 e che si trova in Impostazioni > Sicurezza > Amministratori Dispositivo).
- L’avviso “Google Service” che compare in continuazione (mostrato nella Fig.2)
Figura 8 – Le app pericolose nella Gestione delle Applicazioni
Figura 9 – BankBot mostrato come un aggiornamento di Sistema sotto gli amministratori attivi del dispositivo
Se uno di questi indicatori è presente, il tuo dispositivo molto probabilmente è infettato da questa variante del BankBot.
Per disinfettare manualmente il tuo dispositivo, prima di tutto dovrai disabilitare i diritti di amministratore sul dispositivo per “System update”, poi dovrai procedere alla disinstallazione di “Google Update” sia dell’app infetta associata.
Tuttavia individuare l’app Trojan che ha avviato il processo di infezione (in questo caso Jewels Star Classic) non è facile a causa del ritardo di 20 minuti imposto all’inizio delle attività malevole, e anche perché l’app fasulla funziona apparentemente come dovrebbe. Per identificare e rimuovere la minaccia e tutti i suoi componenti raccomandiamo l’uso di una soluzione di sicurezza mobile affidabile ed efficace.
I prodotti di sicurezza ESET rilevano e bloccano questa variante di BankBot come Android/Spy.Banker.LA.
Come proteggersi?
Oltre a utilizzare una soluzione di sicurezza mobile efficace, ci sono altre precauzioni che puoi adottare per evitare di cadere vittima dei malware per mobile:
- Se possibile scegli gli store di app ufficiali a quelli alternativi. Anche se non è infallibile, Google Play utilizza meccanismi di sicurezza avanzati, non presenti negli altri store.
- Quando hai dei dubbi sull’installare o meno un’app, controlla la sua popolarità verificando il numero di installazioni, le valutazioni e il contenuto delle recensioni.
- Dopo aver eseguito quanto installato, poni molta attenzione ai permessi e ai diritti sul dispositivo che vengono richiesti. Se l’app chiede permessi troppo intrusivi – come quelli legati all’Accessibilità – leggere attentamente le richieste e accetta solo se sei assolutamente certo dell’affidabilità dell’app.
Cos’è il BankBot?
Rilevato da ESET il 26 Dicembre, e analizzato la prima volta da Dr. Web, BankBot è un Trojan bancario per Android controllabile da remoto, capace di raccogliere i dettagli bancari usando moduli di autenticazione predefiniti per una serie di applicazioni, intercettare messaggi di testo per evitare l’autenticazione a 2 fattori e visualizzare notifiche push non richieste.
Poco dopo la scoperta delle app infettate con BankBot su Google Play all’inizio del 2017, abbiamo confermato che le applicazioni dannose sono state create usando il codice sorgente pubblicato sui forum underground a dicembre 2016. La disponibilità pubblica del codice ha portato ad un aumento sia nel numero che nella complessità dei Trojan bancari per sistemi mobile.
Campione analizzato / IoC
Lascia un commento