Android e Trojan bancari: qualche aggiornamento e come difendersi

Le recenti scoperte di molteplici varianti di trojan bancari per Android presentano un significativo rischio per la sicurezza di tutti gli utenti, che sempre più spesso sono esposti al rischio di vedersi rubare dati sensibili e credenziali di accesso.
Red Alert 2.0
L’ultima scoperta riguarda Red Alert 2.0, un trojan bancario scoperto in vendita nel dark web a circa 500 dollari al mese. Red Alert 2.0, al contrario della quasi totalità dei malware bancari, è stato completamente scritto da zero: BankBot, ExoBot e altri sono stati costruiti mettendo assieme pezzi di codice di vecchi trojan. Viene diffuso ormai da mesi su svariati forum di hacking online ed è stato costantemente aggiornato allo scopo di aggiungere nuove funzionalità.
Che cosa fa?
Red Alert 2.0 ha svariate funzionalità:
  • ruba le credenziali di accesso agli account
  • mostra annunci truffaldini nelle schermate delle app legittime
  • intercetta e dirotta SMS
  • ruba i contatti della rubrica
C’è anche una funzione molto curiosa: Red Alert può bloccare o registrare le chiamate in entrata provenienti da banche e finanziarie. Probabilmente la funzione ha lo scopo di impedire che le vittime possano essere avvisati della compromissione dei propri account bancari. Un’altra particolarità è che utilizza Twitter per non perdere i bot quando il server C&C finisce offline.
Altri trojan bancari per Android…
Quella dei trojan bancari continua ad essere una categoria molto viva di malware. Eccone una breve carrellata sui più recenti e diffusi:
  • TrickBot: venne individuato la prima volta intorno alla metà del 2016. Inizialmente il payload fu diffuso attraverso campagne di malvertising usando l’exploit kit Rig. Recentemente ha modificato le proprie tecniche di diffusione (anche perchè l’exploit kit RIG ha subito un duro colpo da parte di alcuni ricercatori di sicurezza): adesso si diffonde usando la botnet Necurs (un vero e proprio distributore di malware, ransomware inclusi).
  • Emotet: è il primo trojan bancario dotato di componenti di self-spreading. Questo trojan scarica un file .RAR auto-estraente nel dispositivo infetto e lo usa per cercare e ottenere l’accesso alle risorse della rete locale: esegue un attacco di brute-force per eseguire il login. Questo è il modulo di auto-diffusione del trojan, che non va confuso con la componente di propagazione: il modulo di propagazione si basa sull’estrazione di contatti dai client di posta elettronica per diffondere il trojan via email di spam non dentro una rete, ma in nuove reti. E’ finalizzato al furto di credenziali per accedere agli account bancari e sottrarre denaro usando attacchi Man-in-the-Browser.
Come proteggersi contro i banking Trojan per Android?
  1. non scaricare app provenienti da app store di terze parti o da link contenuti in SMS o email.
  2. da “Impostazioni–> Sicurezza” verificare che l’opzione “Fonti Sconosciute” sia disabilitata. Android impedirà così l’installazione di app provenienti da fonti sconosciute.
  3. prestare attenzione alle autorizzazioni richieste dalle app che si stanno installando, anche se provenienti dal Google Store: se una app chiede più permessi di quanti, a logica, dovrebbe chiederne per la funzione che deve svolgere, non proseguire nell’installazione.
  4. installare un antivirus di un vendor affidabile può individuare e bloccare trojan di questo tipo prima che possano infettare il tuo dispositivo.
  5. eseguire sempre gli aggiornamenti del sistema operativo e delle app, per ridurre il numero delle vulnerabilità.