Un Trojan-Banker che può rubare tutto

Contenuti

Abbiamo esaminato, qualche settimana fa, il modo in cui certe applicazioni pubblicitarie, quali, ad esempio, Leech, Guerrilla e Ztorg, utilizzano i diritti di superutente. Per quel che riguarda i malware bancari, invece, gli attacchi che prevedono l’utilizzo dei privilegi di root non rappresentano di certo una consuetudine, visto che il denaro può essere sottratto in molti modi diversi, che non richiedono, di fatto, l’acquisizione di privilegi più elevati. All’inizio del mese di febbraio 2016, tuttavia, Kaspersky Lab ha scoperto un Trojan bancario, denominato Trojan-Banker.AndroidOS.Tordow.a, i cui autori avevano deciso, al contrario, che i privilegi di root si sarebbero rivelati utili, per perseguire i propri scopi malevoli. Abbiamo poi monitorato l’evoluzione di tale software nocivo, rilevando come le potenzialità di cui dispone Tordow risultino significativamente superiori alle funzionalità possedute dalla maggior parte dei malware bancari individuati in precedenza; questo, in pratica, consente ai malintenzionati di poter utilizzare nuove tipologie di attacco.

Modalità di penetrazione nel dispositivo

L’infezione informatica provocata da Tordow inizia con l’installazione di una delle applicazioni maggiormente diffuse, come, ad esempio, “VKontakte”, “DrugVokrug”, “Pokémon Go”, “Telegram”, “Odnoklassniki” o “Subway Surf”. In tal caso, non si tratta, ovviamente, delle app originali, bensì di copie delle stesse, la cui distribuzione non avviene attraverso Google Play, l’app store ufficiale. In sostanza, i virus writer scaricano le applicazioni legittime, ed apportano a queste ultime varie modifiche, aggiungendo nuovo codice e nuovi file.

Un Trojan-Banker che può rubare tutto

Il codice aggiunto all’app legittima

Un’operazione del genere può essere eseguita da qualsiasi persona in possesso di conoscenze tutt’altro che estese nel campo dello sviluppo per Android. Il risultato di tutto questo è l’ottenimento di una nuova applicazione, molto simile all’originale, in grado di eseguire le funzioni legittime indicate dallo sviluppatore ufficiale; la nuova app, tuttavia, è anche provvista delle funzionalità nocive che si rivelano necessarie per gli scopi perseguiti dai cybercriminali.

Principio di funzionamento

Nel caso da noi analizzato, abbiamo osservato come il codice furtivamente inserito nell’app legittima sia adibito alla decodifica di un file aggiunto dai malintenzionati alle risorse dell’applicazione, e provveda a lanciare l’esecuzione dello stesso.

Una volta avviato, il file in causa stabilisce una connessione con il server appositamente allestito dai criminali informatici, allo scopo di effettuare il download della componente principale di Tordow, la quale, a sua volta, contiene determinati link che permettono di scaricare ulteriori file – l’exploit attraverso il quale vengono ottenuti i privilegi di root, le nuove versioni del malware, e così via. Il numero dei link presenti può variare a seconda degli specifici piani escogitati dai malfattori; ogni file scaricato, inoltre, è in grado di effettuare ulteriori download dal server, decodificare e lanciare l’esecuzione di nuove componenti dannose. La conseguenza di tutto ciò è che sul dispositivo infetto vengono caricati vari moduli di cui è provvisto il malware; il numero e le funzionalità degli stessi dipendono esclusivamente dai “desideri” e dalle specifiche intenzioni dei “padroni” del Trojan Tordow. Ad ogni caso, in un modo o nell’altro, i malintenzionati hanno di fatto la possibilità di gestire il dispositivo da remoto, attraverso l’invio di appositi comandi provenienti dal server di controllo.

In sostanza, i cybercriminali hanno a loro disposizione un set completo di funzionalità nocive per poter realizzare il furto delle risorse finanziarie degli utenti-vittima, mediante l’utilizzo di metodi divenuti ormai “classici” nell’ambito dei Trojan bancari e dei programmi ransomware per dispositivi mobile. L’app malevola dispone delle seguenti funzionalità:

  • Invio, furto, eliminazione di messaggi SMS.
  • Registrazione, reindirizzamento, blocco delle chiamate telefoniche.
  • Verifica del credito residuo.
  • Furto dell’elenco dei contatti.
  • Effettuazione di chiamate.
  • Variazione del server di comando e controllo.
  • Download ed avvio di file.
  • Installazione e rimozione di applicazioni.
  • Blocco del dispositivo con relativa visualizzazione, da parte dell’utente-vittima, di una pagina web predisposta sul server allestito dai cybercriminali.
  • Elaborazione e successiva trasmissione ai malintenzionati dell’elenco dei file custoditi sul dispositivo; invio, rinomina di qualsiasi file.
  • Riavvio del telefono.

Acquisizione dei diritti di superutente

Oltre ad effettuare il download dei moduli relativi alle funzionalità di Trojan bancario vere e proprie, Tordow (nell’ambito dell’estesa “catena” di download dei vari moduli previsti), provvede ugualmente a scaricare un noto exploit pack, utilizzato per ottenere i diritti di root; questo fornisce al malware un nuovo vettore di attacco, così come opportunità davvero “uniche”.

In primo luogo, il Trojan installa nella cartella di sistema uno dei moduli da esso scaricati, in modo tale da rendere particolarmente difficile l’eventuale rimozione del malware.

In secondo luogo, sfruttando i diritti di superutente, i cybercriminali hanno l’opportunità di carpire i database relativi al browser di default dell’OS Android e al browser Google Chrome, se quest’ultimo risulta installato nel dispositivo.

Un Trojan-Banker che può rubare tutto

Codice relativo all’invio, verso il server, dei dati relativi ai browser

Tali database contengono tutte le combinazioni di login e password custodite dall’utente sul proprio browser, la cronologia dei siti web visitati, i file cookie e, talvolta, persino i dati sensibili relativi alle carte di credito utilizzate dal proprietario del dispositivo.

Un Trojan-Banker che può rubare tutto

Login e password relativi ad un sito web specifico, presenti nel database del browser

In tal modo, i malintenzionati possono ottenere l’accesso a numerosi account aperti dalla vittima presso vari siti web.

In terzo luogo, i diritti di superutente consentono, in pratica, di poter sottrarre qualsiasi file presente nel sistema: foto, documenti, persino i file contenenti i dati relativi agli account delle applicazioni mobile.

Attacchi informatici del genere possono consentire ai cybercriminali di realizzare il furto di un’enorme quantità di dati, anche quelli particolarmente importanti e preziosi per l’utente-vittima. Raccomandiamo, pertanto, di non installare applicazioni provenienti da fonti non ufficiali e, al tempo stesso, di utilizzare efficaci soluzioni antivirus per proteggere al meglio il proprio dispositivo Android.

MD5

06CBA6FF7E9BCF2C61EF2DD8B5E73A30
3C1B589DA2F8DB972E358DD96F9B54B0
5F5906017C6F7D7DE5BD50440969E532
8E00657A004F3040E850CA361DE64D64
ACF114BB47A624438ADA26B8D449C06D

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *