Mobile

Un Trojan-Banker che può rubare tutto

Abbiamo esaminato, qualche settimana fa, il modo in cui certe applicazioni pubblicitarie, quali, ad esempio, Leech, Guerrilla e Ztorg, utilizzano i diritti di superutente. Per quel che riguarda i malware bancari, invece, gli attacchi che prevedono l’utilizzo dei privilegi di root non rappresentano di certo una consuetudine, visto che il denaro può essere sottratto in molti modi diversi, che non richiedono, di fatto, l’acquisizione di privilegi più elevati. All’inizio del mese di febbraio 2016, tuttavia, Kaspersky Lab ha scoperto un Trojan bancario, denominato Trojan-Banker.AndroidOS.Tordow.a, i cui autori avevano deciso, al contrario, che i privilegi di root si sarebbero rivelati utili, per perseguire i propri scopi malevoli. Abbiamo poi monitorato l’evoluzione di tale software nocivo, rilevando come le potenzialità di cui dispone Tordow risultino significativamente superiori alle funzionalità possedute dalla maggior parte dei malware bancari individuati in precedenza; questo, in pratica, consente ai malintenzionati di poter utilizzare nuove tipologie di attacco.

Modalità di penetrazione nel dispositivo

L’infezione informatica provocata da Tordow inizia con l’installazione di una delle applicazioni maggiormente diffuse, come, ad esempio, “VKontakte”, “DrugVokrug”, “Pokémon Go”, “Telegram”, “Odnoklassniki” o “Subway Surf”. In tal caso, non si tratta, ovviamente, delle app originali, bensì di copie delle stesse, la cui distribuzione non avviene attraverso Google Play, l’app store ufficiale. In sostanza, i virus writer scaricano le applicazioni legittime, ed apportano a queste ultime varie modifiche, aggiungendo nuovo codice e nuovi file.

Un Trojan-Banker che può rubare tutto

Il codice aggiunto all’app legittima

Un’operazione del genere può essere eseguita da qualsiasi persona in possesso di conoscenze tutt’altro che estese nel campo dello sviluppo per Android. Il risultato di tutto questo è l’ottenimento di una nuova applicazione, molto simile all’originale, in grado di eseguire le funzioni legittime indicate dallo sviluppatore ufficiale; la nuova app, tuttavia, è anche provvista delle funzionalità nocive che si rivelano necessarie per gli scopi perseguiti dai cybercriminali.

Principio di funzionamento

Nel caso da noi analizzato, abbiamo osservato come il codice furtivamente inserito nell’app legittima sia adibito alla decodifica di un file aggiunto dai malintenzionati alle risorse dell’applicazione, e provveda a lanciare l’esecuzione dello stesso.

Una volta avviato, il file in causa stabilisce una connessione con il server appositamente allestito dai criminali informatici, allo scopo di effettuare il download della componente principale di Tordow, la quale, a sua volta, contiene determinati link che permettono di scaricare ulteriori file – l’exploit attraverso il quale vengono ottenuti i privilegi di root, le nuove versioni del malware, e così via. Il numero dei link presenti può variare a seconda degli specifici piani escogitati dai malfattori; ogni file scaricato, inoltre, è in grado di effettuare ulteriori download dal server, decodificare e lanciare l’esecuzione di nuove componenti dannose. La conseguenza di tutto ciò è che sul dispositivo infetto vengono caricati vari moduli di cui è provvisto il malware; il numero e le funzionalità degli stessi dipendono esclusivamente dai “desideri” e dalle specifiche intenzioni dei “padroni” del Trojan Tordow. Ad ogni caso, in un modo o nell’altro, i malintenzionati hanno di fatto la possibilità di gestire il dispositivo da remoto, attraverso l’invio di appositi comandi provenienti dal server di controllo.

In sostanza, i cybercriminali hanno a loro disposizione un set completo di funzionalità nocive per poter realizzare il furto delle risorse finanziarie degli utenti-vittima, mediante l’utilizzo di metodi divenuti ormai “classici” nell’ambito dei Trojan bancari e dei programmi ransomware per dispositivi mobile. L’app malevola dispone delle seguenti funzionalità:

  • Invio, furto, eliminazione di messaggi SMS.
  • Registrazione, reindirizzamento, blocco delle chiamate telefoniche.
  • Verifica del credito residuo.
  • Furto dell’elenco dei contatti.
  • Effettuazione di chiamate.
  • Variazione del server di comando e controllo.
  • Download ed avvio di file.
  • Installazione e rimozione di applicazioni.
  • Blocco del dispositivo con relativa visualizzazione, da parte dell’utente-vittima, di una pagina web predisposta sul server allestito dai cybercriminali.
  • Elaborazione e successiva trasmissione ai malintenzionati dell’elenco dei file custoditi sul dispositivo; invio, rinomina di qualsiasi file.
  • Riavvio del telefono.

Acquisizione dei diritti di superutente

Oltre ad effettuare il download dei moduli relativi alle funzionalità di Trojan bancario vere e proprie, Tordow (nell’ambito dell’estesa “catena” di download dei vari moduli previsti), provvede ugualmente a scaricare un noto exploit pack, utilizzato per ottenere i diritti di root; questo fornisce al malware un nuovo vettore di attacco, così come opportunità davvero “uniche”.

In primo luogo, il Trojan installa nella cartella di sistema uno dei moduli da esso scaricati, in modo tale da rendere particolarmente difficile l’eventuale rimozione del malware.

In secondo luogo, sfruttando i diritti di superutente, i cybercriminali hanno l’opportunità di carpire i database relativi al browser di default dell’OS Android e al browser Google Chrome, se quest’ultimo risulta installato nel dispositivo.

Un Trojan-Banker che può rubare tutto

Codice relativo all’invio, verso il server, dei dati relativi ai browser

Tali database contengono tutte le combinazioni di login e password custodite dall’utente sul proprio browser, la cronologia dei siti web visitati, i file cookie e, talvolta, persino i dati sensibili relativi alle carte di credito utilizzate dal proprietario del dispositivo.

Un Trojan-Banker che può rubare tutto

Login e password relativi ad un sito web specifico, presenti nel database del browser

In tal modo, i malintenzionati possono ottenere l’accesso a numerosi account aperti dalla vittima presso vari siti web.

In terzo luogo, i diritti di superutente consentono, in pratica, di poter sottrarre qualsiasi file presente nel sistema: foto, documenti, persino i file contenenti i dati relativi agli account delle applicazioni mobile.

Attacchi informatici del genere possono consentire ai cybercriminali di realizzare il furto di un’enorme quantità di dati, anche quelli particolarmente importanti e preziosi per l’utente-vittima. Raccomandiamo, pertanto, di non installare applicazioni provenienti da fonti non ufficiali e, al tempo stesso, di utilizzare efficaci soluzioni antivirus per proteggere al meglio il proprio dispositivo Android.

MD5

06CBA6FF7E9BCF2C61EF2DD8B5E73A30
3C1B589DA2F8DB972E358DD96F9B54B0
5F5906017C6F7D7DE5BD50440969E532
8E00657A004F3040E850CA361DE64D64
ACF114BB47A624438ADA26B8D449C06D

Un Trojan-Banker che può rubare tutto

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox