Camuffato da app di conversione di valuta, si rivolge agli utenti spagnoli ed è stato scaricato più di 10.000 volte.
Negli ultimi giorni, il team Mobile Threat Labs di Avast ha scoperto il Trojan bancario Cerberus su Google Play, destinato agli utenti Android in Spagna. Il malware bancario Cerberus è ormai noto alle cronache, essendo stato individuato per la prima volta quasi un anno fa ma l’aspetto particolare di questa campagna che un Trojan bancario sia riuscito a intrufolarsi nel Google Play Store. L’app malevola in questo caso si presentava come un convertitore di valuta spagnolo chiamato “Calculadora de Moneda“.
Secondo i ricercatori di Avast, l’applicazione ha nascosto le sue intenzioni maligne per le prime settimane pur essendo disponibile nel negozio, probabilmente per acquisire utenti prima di iniziare qualsiasi attività dannosa che avrebbe potuto attirare l’attenzione dei ricercatori di malware o del team Play Protect di Google. Di conseguenza, l’app è stata scaricata più di 10.000 volte. Avast ha segnalato a Google l’applicazione malevola, in modo da essere rimossa rapidamente.
Le app che nascondono un Trojan bancario funzionano in modo invisibile al fine di ottenere la fiducia degli utenti e rubare i loro dati bancari. Esistono diverse fasi di questo processo: la prima prevede la distribuzione dell’app, che di solito sembra funzionare normalmente e spesso offre anche un certo grado di funzionalità utili agli utenti che l’hanno scaricata; questo per guadagnare la loro fiducia e assicurarsi che siano a loro agio nel mantenere l’app sui loro telefoni. Fino a questo punto, l’app ‘Calculadora de Moneda’ non ha rubato alcun dato o causato alcun danno. Dalla ricerca condotta dal Mobile Threat Labs di Avast, questo è esattamente ciò che è accaduto quando gli utenti hanno iniziato a scaricare l’app di conversione di valuta nel marzo di quest’anno. In un secondo momento, l’app benigna si trasforma in dropper, ovvero una app dannosa che scarica silenziosamente una ulteriore app su un dispositivo all’ insaputa dell’utente. Le versioni successive del convertitore di valuta includevano un codice dropper, inizialmente non ancora attivato, ovvero un server di comando e controllo (C&C); successivamente l’Avast Threat Labs ha notato un’attività del server C&C, che ha emesso un nuovo comando per scaricare l’APK (Android Application Package) aggiuntivo dannoso – ovvero il banking trojan. In questa fase finale, l’app dannosa può sovrapporsi a quella legittima per l’home banking già esistente e attendere che l’utente acceda al proprio conto bancario. A quel punto il Trojan si attiva, mettendo in pausa la schermata e rubando tutti i dati di accesso. L’app dannosa ha anche il potenziale per leggere i messaggi di testo e i dettagli di autenticazione a due fattori, il che significa che è in grado di bypassare tutte le misure di sicurezza.
Nel caso di “Calculadora de Moneda” il server C&C in questione e il suo payload sono stati attivi fino a qualche giorno fa, per poi smettere di inviare il codice malevolo. Si tratta di una tattica che i truffatori usano spesso per nascondersi dalla protezione e dal rilevamento, limitando la finestra temporale in cui è possibile scoprire l’attività dannosa. Versioni diverse dell’app Convertitore di valute presente nella nostra piattaforma di Intelligence sulle minacce, apklab.io.
Tutti i risultati di questa ricerca sono stati segnalati a Google.
Come proteggersi dai mobile banking Trojan
Gli esperti di Avast raccomandano agli utenti di adottare le seguenti misure per proteggersi da questo tipo di minacce:
• Verificare che l’app in uso sia certificata. Se l’interfaccia sembra sconosciuta o strana, ricontrollare con il team del servizio clienti della banca;
• Utilizzare l’autenticazione a due fattori se la banca lo offre come opzione;
• Affidarsi solo ad app store affidabili, come Google Play o App Store di Apple. Anche se il malware in questione si trovava su Google Play, il suo payload è stato scaricato da una fonte esterna. Disattivando l’opzione per scaricare app da altre fonti, si potrà evitare questo tipo di Trojan bancario;
• Prima di scaricare una nuova app, controllare le valutazioni degli utenti. Se altri utenti lamentano una brutta esperienza utente, potrebbe essere un’app da evitare;
• Prestare attenzione alle autorizzazioni richieste da un’app. Se questa richiede più di quanto promette di consegnare, è da considerarsi come un campanello d’allarme;
• Spesso il malware chiederà di diventare amministratore del dispositivo per ottenerne il controllo. Mai concedere questa autorizzazione a un’app a meno che non si ritenga davvero necessario;
• Utilizzare un’app di sicurezza come Avast Mobile Security che rileva e protegge anche dalle minacce di questo tipo.
Lista degli IoCs:
1. Dropper principale – Currency Converter app, identificato come dropper attivo:
C30ebf9fc47e6e12f4467e32bf1b3c055f99659c8c0395df4b3e7107591eb5fa
2. Dropper C&C:
23.106.124.183
3. Payload:
D89E08DB5AF347BE72F1307186638AAA062A8DE45A808F57DCE85BC83C94059E
4. Banker C&C:
goldegrillz.top
Lascia un commento