I malware “overlay” all’attacco di Android

Il mercato nero del software nocivo “dedicato” all’OS Android si sta rianimando in maniera considerevole, con il significativo aumento del livello di popolarità di cui godono, attualmente, i cosiddetti malware “overlay”. Secondo gli esperti di X-Force, il dipartimento di sicurezza IT della società IBM, le applicazioni malevole in questione sono in grado di sottrarre le credenziali relative agli account posseduti dagli utenti dei dispositivi Android, e consentono inoltre, ai malintenzionati, di poter bypassare agevolmente i sistemi di protezione basati sulla procedura di autenticazione a due fattori.

I programmi malware overlay, in sostanza, sovrappongono la propria finestra maligna all’interfaccia delle applicazioni Android legittime, con il preciso intento di carpire le informazioni sensibili, in genere di natura finanziaria. I dati confidenziali inseriti dall’utente-vittima nei campi presenti sulla schermata di phishing vengono immediatamente trasmessi al server remoto allestito dagli attacker.

Secondo i ricercatori, la crescente domanda per tale specifica tipologia di software dannoso ha scatenato una vera e propria guerra dei prezzi, generando, al tempo stesso, un intenso flusso di nuove varianti di malware overlay, che, nel corso di questi ultimi mesi, sembrano scorrere letteralmente a fiumi. Limor Kessem, tra i principali esperti di sicurezza IT del team di ricerca e sviluppo X-Force di IBM, afferma che l’interesse nei confronti dei suddetti programmi nocivi ha iniziato ad aumentare in maniera sensibile, presso gli ambienti cybercriminali, verso la fine dello scorso anno, dopo la fuga di dati che ha riguardato il codice sorgente del malware bancario GM Bot (definito da Kaspersky Lab con l’appellativo di Acecard). Tale codice dannoso è stato in seguito sottoposto a sostanziali modifiche; di fatto, la nuova variante di GM Bot risulta molto più costosa rispetto alla versione del malware in circolazione sei mesi fa; il suo prezzo, sul mercato nero del crimine informatico, è addirittura triplicato, salendo a 15.000 dollari, contro i cinquemila dollari mediamente pagati in precedenza per GM Bot.

Prezzi così elevati, ha osservato Limor Kessem commentando la situazione con Threatpost, hanno subito innescato un’accanita concorrenza tra i “vendor” di programmi malware analoghi, destinati alla piattaforma Android. Il team X-Force ha individuato, sui mercati illegali, la presenza di tutta una serie di nuove varianti overlay, quali, ad esempio, Bilal Bot e Cron Bot. Nel frattempo, è ugualmente aumentato, in maniera considerevole, il volume delle vendite illecite riguardanti KNL Bot, malware similare già esistente, creato in precedenza dai virus writer. I prezzi riguardanti i bot alternativi qui sopra menzionati oscillano, in genere, fra i 3.000 ed i 6.000 dollari; alcuni di essi vengono anche offerti in qualità di malware-as-a-service.

“Sul mercato nero, attualmente, si registra una sorta di abbandono dei classici Trojan bancari (per PC), – rileva Limor Kessem. – Il nuovo “coltellino svizzero” del cybercriminale è ormai rappresentato dai malware di tipo overlay. Tali software nocivi si rivelano particolarmente flessibili ed efficaci in qualità di strumento adibito al furto delle credenziali legate alla sfera finanziaria dell’utente-vittima e, al tempo stesso, possono essere impiegati per carpire, dai dispositivi Android, molte altre tipologie di dati confidenziali.

GM Bot è stato individuato, per la prima volta, nel 2014. Così come i suoi eredi – Bilal Bot, Cron Bot e KNL Bot – anche tale malware sfrutta una vulnerabilità rilevata nelle versioni più datate di Android (precedenti alla release 5.0), la quale offre ai malintenzionati l’opportunità di monitorare le attività svolte dall’utente. La ricercatrice di IBM X-Force, qui sopra nominata, ritiene di non poter ancora affermare con certezza che le suddette iterazioni di GM Bot facciano effettivamente uso dello stesso identico codice di base: “Tale probabilità è molto elevata; per il momento, tuttavia, non abbiamo ancora analizzato i sample”.

Le ultime varianti di malware overlay sembrano condividere tutta una serie di caratteristiche simili, come, ad esempio, quella di essere vendute direttamente dagli sviluppatori del software. “Gli intermediari sono in numero sempre minore, – commenta a tal proposito Limor Kessem. – Sono gli stessi sviluppatori a garantire, attualmente, il “necessario” supporto per il software; essi, in effetti, rilasciano gli aggiornamenti con regolarità, correggono i bug e forniscono servizi di assistenza tecnica”.

I ricercatori del team X-Force hanno ugualmente rilevato, in tutti gli APK maligni, la presenza di un set di funzionalità simili; oltre a generare la visualizzazione di apposite schermate di phishing, tutti i malware overlay sono in grado di intercettare gli SMS, reindirizzare le chiamate telefoniche e monitorare i codici dei paesi. Inoltre, per evitare il possibile rilevamento, essi fanno uso, tutti quanti, del polimorfismo.

II ricercatori si attendono, infine, una fioritura di botnet basate su tale genere di software nocivo, il quale ha già dimostrato tutta la propria efficacia in veste di temibile strumento per compiere il furto, sui dispositivi mobili, delle credenziali di natura finanziaria, dei codici di autenticazione, e di vari altri dati relativi agli utenti. C’è anche una buona notizia, ad ogni caso. “I malware overlay possono essere facilmente sconfitti, – ha dichiarato la Kessem. – Gli sviluppatori di applicazioni Android debbono semplicemente tenere in considerazione l’eventualità di attacchi di tipo overlay. – Occorrono applicazioni ancor più avanzate dal punto di vista tecnologico, capaci di fornire un’adeguata protezione nel caso in cui si manifestino attacchi del genere; le app, perlomeno, dovrebbero essere in grado di avvertire l’utente, se compare, sul dispositivo, un overlay maligno”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *