Non solo gli utenti, ora anche le banche dovranno fare attenzione alle proprie app. Su Android, infatti, si aggira il nuovo malware DroidBot, che ha già preso di mira oltre 77 app di servizi bancari, cercando di rubare credenziali di accesso e tanto altro.
DroidBot, una nuova frode bancaria si diffonde su Android
Scoperta recentemente dai ricercatori della società di cybersecurity Cleafy, DroidBot è a tutti gli effetti una minaccia emergente nel panorama del cybercrime, che sfrutta un sistema di comunicazione dual-channel basato su MQTT e HTTPS per rubare credenziali di accesso in modo da accedere ai conti correnti online.
Particolarità di questo malware è il suo modello di MaaS (Malware-as-a-Service), che consente a chi lo utilizza di personalizzare gli attacchi attraverso strumenti forniti direttamente dagli sviluppatori, quali:
- malware builder,
- accesso a server di comando e controllo (C2),
- un pannello da cui è possibile gestire operazioni, recuperare dati rubati e impartire comandi.
Secondo Cleafy, almeno 17 gruppi di cybercriminali hanno già utilizzato questo strumento in Paesi come Italia, Regno Unito, Francia, Spagna, Portogallo e Turchia. E pur non introducendo funzionalità particolarmente innovative, DroidBot ha già ottenuto dei traguardi davvero notevoli. Riferisce il sito specializzato Bleeping Computer, un solo botnet di DroidBot ha registrato 776 attacchi unici, a dimostrazione della sua eccezionale capacità di attacco.
Tecniche di attacco sofisticate e mirate
In breve, DroidBot si “traveste” da applicazioni popolari come Google Chrome o Google Play Store per indurre gli utenti a installarlo. In tutti i casi, il malware agisce come un trojan che tenta di rubare informazioni sensibili dalle app bancarie. Infatti, una volta attivo, il malware si avvale di diverse tecniche avanzate per sottrarre dati sensibili, tra cui:
- Keylogging (registra ogni tasto premuto dall’utente).
- Overlaying (sovrappone schermate false di login su app bancarie legittime).
- Intercettazione di SMS (cattura messaggi contenenti codici OTP).
- Controllo remoto tramite VNC (consente di visualizzare e controllare il dispositivo infetto).
Inoltre, il malware sfrutta in maniera abusiva i servizi di accessibilità di Android per simulare azioni dell’utente, come tocchi e scorrimenti.
Come proteggersi da DroidBot
Intanto, come precisa Bleeping Computer, se si installa un’app che richiede autorizzazioni strane, come i servizi di accessibilità, è meglio rifiutare la richiesta fin da subito.
Inoltre, per evitare il peggio, gli stessi ricercatori di Cleafy raccomandano di scaricare app esclusivamente da Google Play, nonché di verificare con attenzione le richieste di autorizzazioni durante l’installazione. Per ultimo, è caldamente consigliato attivare il servizio Play Protect per rilevare applicazioni sospette.
