Trojan bancari: la minaccia più insidiosa per gli smartphone

Gli smartphone moderni sono dei computer a tutti gli effetti, più potenti di quelli fissi che usavamo 10 anni fa. Questi nuovi dispositivi possono contenere dati d’interesse per i cybercriminali, come le credenziali bancarie.

Trojan bancari

Stiamo vivendo l’epoca d’oro degli smartphone; durante gli ultimi due anni, oltre il 50% di tutti i dispositivi mobili utilizzati erano smartphone. Il problema che ne deriva è l’insorgenza delle minacce informatiche specifiche per dispositivi mobili. Gli utenti di PC sono ormai abituati ad applicare delle nozioni base di sicurezza informatica; chi usa uno smarphone, invece, considera ancora questo genere di dispositivo come un “semplice telefono”, alla stregua di una lavatrice o di un ferro da stiro, ovvero di qualcosa di cui non preoccuparsi.

Gli smartphone moderni sono dei computer a tutti gli effetti, più potenti di quelli fissi che usavamo 10 anni fa. E si tratta di computer potenzialmente a rischio. Se sull’hard disk del vostro PC potrebbe non esserci nulla di valore (a parte un paio di saggi scritti durante l’università o una montagna di foto delle ultime vacanze), questi nuovi dispositivi, invece, possono contenere dati di valore non solo per voi ma anche per i cybercriminali, come le credenziali bancarie.

Se possedete uno smartphone, è molto probabile che possediate anche una carta di credito. Dal momento che le banche spesso utilizzano il numero di telefono mobile per inviare autorizzazioni (password usa e getta via SMS), avrebbe totalmente senso che i cybercriminali decidessero d’infiltrarsi nel sistema di comunicazione tra il telefono e la banca per effettuare pagamenti o bonifici dal vostro conto.

Non c’è da meravigliarsi, quindi, che i Trojan bancari specifici per dispositivi mobili costituiscano una delle principali minacce mobile, il 94% del totale per la precisione. Oltre il 98% degli attacchi bancari mobile colpiscono dispositivi Android (anche questa non è una sorpresa). Android è la piattaforma mobile più utilizzata al mondo (oltre l’80% del mercato smartphone globale) e, tra le piattaforme mobile, solo Android consente il sideload di software.

Sebbene i Trojan siano meno pericolosi dei virus (in quanto richiedono una qualche azione dell’utente per infiltrarsi nei sistemi), esistono tecniche d’ingegneria sociale che portano l’utente a fare quello che si vuole mascherando, ad esempio, il Trojan come se fosse un importante aggiornamento o un livello bonus di un gioco online. Inoltre, molti exploit consentono di lanciare il malware automaticamente non appena l’utente esegue per sbaglio il file dannoso.

Ecco i tre metodi principali impiegati dai Trojan bancari:
Nascondere messaggi: i malware su smartphone nascondono i messaggi che arrivano dalla banca e li rinviano ai cybercriminali, che possono trasferire il denaro dell’utente sui propri conti;
Piccoli movimenti di denaro: i malware a volte trasferiscono somme relativamente modeste di denaro dagli account infetti degli utenti sui conti dei cybercriminali;
Mirroring delle app: un malware può imitare l’app mobile di un ente bancario, dove l’utente digiterà le sue credenziali credendo di trovarsi sull’app legittima (eseguendo le due operazioni di cui abbiamo parlato sopra).

La maggior parte dei Trojan bancari (oltre il 50%) colpisce Russia e i paesi appartenenti alla Comunità degli Stati Indipendenti (CIS), oltre a India e Vietnam. Tuttavia, si sta sviluppando una nuova generazione di malware attiva a livello globale. Questo gruppo è in grado di scaricare profili aggiornati di diversi enti bancari di Stati Uniti, Germania e Regno Unito.

Il nonno di tutti i Trojan bancari mobile è Zeus, aka Zitmo (Zeus-in-the-mobile), le cui prime tracce risalgono al 2010 (l’antenato per PC, anche lui Zeus, è stato creato nel 2006). Questo malware è riuscito a infettare oltre 3,5 milioni di dispositivi solamente negli Stati Uniti e ha creato la più grande botnet della storia.

Si tratta di un hijacker classico che salva le credenziali di accesso che gli utenti inseriscono nell’interfaccia mobile del proprio ente bancario; invia queste credenziali ai cybercriminali che così possono entrare nel sistema ed effettuare transazioni (Zitmo era in grado anche di bypassare l’autenticazione a due fattori).

Inoltre, grazie a Zeus, i cybercriminali sono riusciti ad appropriarsi di oltre 74 mila password per siti FTP (tra cui quello di Bank of America), alterando i codici per poter estrarre i dati delle carte di credito dopo ogni tentativo di pagamento. Zeus è stato attivo fino alla fine del 2013, quando si è fatto strada il più recente Xtreme RAT. In ogni caso, il kernel del Trojan è ancora in voga tra molti ingegneri malware.

Il 2011 ha visto crescere SpyEye, uno dei più efficaci Trojan bancari della storia. Il suo creatore Alexander Panin ha venduto il codice al mercato nero a prezzi che oscillavano dai 1.000 agli 8.500 dollari. Secondo l’FBI, che è riuscita a dare un volto dietro a questo Trojan, ben in 150 hanno comprato il codice e poi modificato per rubare denaro a vari enti bancari. Uno dei cybercriminali è riuscito a rubare oltre 3,2 milioni di dollari in soli sei mesi.

Nel 2012 è stata individuata una nuova specie di malware, Carberp. Questo componente imita le app Android dei principali enti bancari russi come Sberbank e Alfa Bank e ha colpito utenti in Russia, Bielorussia, Kazakhistan, Moldavia e Ucraina. I cybercriminali sono riusciti a pubblicare app false su Google Play.

Il gruppo di cybercriminali era composto da 28 persone, arrestate durante un’operazione russo-ucraina. Il codice sorgente di Carberp è stato pubblicato nel 2013 e chiunque avrebbe potuto utilizzarlo per creare il proprio malware. Sebbene il Carberp originale fosse rivolto principalmente a paesi dell’ex Unione Sovietica, i suoi cloni sono stati individuati in tutto il mondo, compresi Stati Uniti, Europa e America Latina.

Nel 2013 è stata la volta di Hesperbot. Originario della Turchia, questo malware si è poi diffuso in tutto il mondo attraverso Portogallo e Repubblica Ceca. Oltre a creare i soliti problemi, questo Trojan crea un server VNC nascosto sullo smartphone, che garantisce ai cybercriminali l’accesso in remoto al dispositivo.

Anche dopo aver eliminato il Trojan, l’accesso remoto continua a esistere e consente ai cybercriminali di consultare tutti i messaggi come se avessero il dispositivo tra le proprie mani (in questo modo possono tranquillamente reinstallare il malware). Inoltre, Hesperbot non solo si comporta da Trojan bancario, ma riesce anche a rubare bitcoin. Hesperbot si diffonde mediante campagne di phishing spacciandosi per un servizio email.

Le code source d’Android.iBanking a été révélé en 2014. iBanking est un kit de bout en bout pour pirater les SMS et contrôler les appareils à distance. Sa valeur est estimée à 5000 dollars. La publication du code a donné lieu à une épidémie d’infections.

Le kit comprend un code malveillant qui remplace une application bancaire légitime (l’application originale est totalement opérationnelle mais elle a été modifiée afin d’inclure plus de fonctions) ainsi qu’un programme Windows avec une interface graphique convenable. Celle-ci permet de contrôler tous les smartphones affectés à partir d’une liste qui est automatiquement mise à jour pour ajouter de nouvelles victimes.

È interessante che, nonostante la disponibilità di una versione gratuita della piattaforma malware, la versione a pagamento del kit sia molto più diffusa. Gli utenti Premium ottengono regolari aggiornamenti e assistenza tecnica. Alla fine dello stesso anno sono stati scoperti altri due Trojan su Google Play, creati appositamente per il Brasile e senza speciali caratteristiche di programmazione, basati sul kit disponibile per tutti.

Brasile è un paese interessante per quanto riguarda gli attacchi alle banche, soprattutto per via dell’ampio uso del Boleto. Si tratta di uno speciale sistema di pagamento mobile che consente di trasferire denaro da un utente all’altro mediante assegni virtuali con ID unico, che si trasforma in un codice a barre visualizzato e scannerizzato dallo smartphone abilitato del destinatario.

Sono stati creati dei Trojan specifici che colpiscono gli utenti di Boleto (Infostealer.Boleteiro): modificano gli assegni generati quando passano per il browser e reindirizzati direttamente ai cybercriminali.

Inoltre, il Trojan monitora gli ID input del sistema Boleto su siti Internet e app (durante la sostituzione dell’account nel sistema) e, senza che nessuno se ne accorga, cambia gli ID regolari con quelli falsi.

Nel giugno 2015 è stato scoperto in Russia un nuovo Trojan, Android.Bankbot.65.Origin. Sembrava inizialmente la versione con le patch dell’app ufficiale di Sberbank Online e prometteva “un’ampia gamma di funzionalità per mobile” dopo l’installazione della nuova versione.

Di fatto l’app continuava ad avere lo scopo per cui era stata creata, per questo gli utenti non hanno notato nulla di strano. Nel luglio di quest’anno 100 mila utenti Sberbank hanno perso in totale oltre 2 miliardi di rubli per colpa della falsa app “Sberbank Online”.

Non c’è bisogno di dire che la storia dei Trojan bancari continuerà a essere scritta: saranno create nuove app e verranno perfezionate nuove tecniche per far cadere gli utenti nella trappola. Morale della favola: iniziate a proteggere sin da ora i vostri smartphone in maniera adeguata.

Consigli
Iscriviti per ricevere le nostre notizie via e-mail
  • Tutti gli altri paesi