BankBot continua a causare un sacco di problemi

Il Trojan bancario BankBot – temibile malware mobile per dispositivi Android, comparso nel mese di gennaio di quest’anno – si è rivelato in grado di poter eludere abilmente le misure di protezione implementate da Google, e riappare continuamente all’interno del negozio ufficiale di applicazioni Google Play Store.

La breve storia di BankBot ha avuto inizio nel momento in cui è stato reso pubblicamente disponibile, online, su un forum underground dedicato all’hacking, il codice sorgente di un Trojan-Banker del tutto sconosciuto, destinato all’OS Android. In seguito, il codice malevolo è stato perfezionato; sono stati tra l’altro inseriti appositi meccanismi per poter bypassare lo speciale modulo antivirus denominato Google Bouncer. I nuovi sviluppi hanno costituito la base per la realizzazione di BankBot, il quale, già per la fine del mese di gennaio 2017, iniziava ad attaccare in maniera particolarmente attiva i clienti di varie banche russe. Nel successivo mese di febbraio, il codice del banker è stato ulteriormente “migliorato”, in modo sostanziale, per far sì che il Trojan potesse attaccare anche gli utenti di istituti bancari situati in altri paesi, quali Gran Bretagna, Austria, Germania e Turchia.

In totale, i ricercatori sono riusciti ad identificare, inizialmente, tre diverse campagne malevole, che hanno prodotto l’indesiderata comparsa di BankBot all’interno dell’app store ufficiale di Google. La società di Mountain View, da parte sua, è subito intervenuta, ogni volta, in maniera efficace, eliminando le app nocive; è tuttavia apparso evidente, ben presto, come in tutti i casi sopra citati il banker fosse riuscito a eludere lo stretto controllo abitualmente effettuato da Google Bouncer.

Attualmente, alla fine del mese di aprile, le campagne malevole in questione, volte a diffondere BankBot, risultano ancora attive, così come in precedenza. Inizialmente, il Trojan BankBot è stato individuato dai ricercatori di Dr.Web, società di cyber-security russa; la conduzione delle successive campagne su GooglePlay è stata invece rilevata, in primo luogo, da ESET, nota società specializzata in sicurezza IT. Due ulteriori casi di distribuzione del Trojan bancario BankBot attraverso l’app store di Google sono stati poi segnalati dalla società olandese Securify.

La prima app dannosa, identificata nell’ambito di una nuova campagna BankBot, è risultata essere Funny Videos 2017; essa è stata scaricata da 1.000 a 5.000 volte, prima di essere rimossa, da Google, dal proprio negozio ufficiale di applicazioni. L’app denominata HappyTimes Videos, infettata da BankBot, è stata identificata nel periodo delle recenti vacanze di Pasqua, ed è stata poi rimossa la scorsa settimana.

BankBot genera una schermata di phishing, che si sovrappone all’interfaccia delle app legittime utilizzate per le operazioni di mobile banking. Si è inoltre scoperto che il Trojan è in grado di rubare non solo le credenziali relative alle app di banking, ma anche quelle inerenti a servizi online particolarmente popolari: Facebook, Viber, YouTube, WhatsApp, Uber, Snapchat, WeChat, IMO, Instagram, Twitter, Google Play Store.

Oltre a ciò, BankBot evidenzia anche specifiche “qualità” da ransomware, bloccando lo schermo dello smartphone; il malware in causa, infine, è ugualmente in grado di intercettare i messaggi SMS, con il preciso intento di compromettere il sistema di autenticazione a due fattori. I ricercatori hanno rivelato che BankBot, grazie alla sua specifica configurazione, può prendere di mira ben 424 diverse app bancarie. Gli specialisti ritengono che il Trojan, con il trascorrere del tempo, si trasformerà in una minaccia IT ancor più complessa e sofisticata, multilivello, creando non pochi problemi agli utenti, alle banche ed ai ricercatori stessi.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *