Android, BankBot il nuovo trojan bancario

Un nuovo trojan bancario è stato scoperto nelle ultime ore dagli analisti dell’azienda antivirus russa Dr Web.

Un mese fa gli autori del trojan avevano messo a disposizione di forum underground, presenti nel web, il codice sorgente insieme alle istruzioni per il suo utilizzo; gli analisti della Dr. Web ritengono che nelle prossime settimane si potrebbero scoprire ulteriori tipologie del malware atte a commettere nuove frodi bancarie. Al momento gli attacchi sembrerebbero indirizzati verso il mercato finanziario russo, ma come già abbiamo potuto vedere in passato questo tipo di minacce potrebbero espandersi rapidamente in tutto il mondo.

Stando alle prime analisi effettuate, la distribuzione del malware avverrà iniettando il codice infetto all’interno di applicazioni android che potremmo poi ritrovarci sia nello store di Google, sia all’interno di siti di terze parti.

Il funzionamento del trojan:

installata l’applicazione android, il malware inietta sul proprio smartphone o tablet il codice infetto di  BankBot. Verrà chiesta l’autorizzazione alle funzioni di amministratore, questo per rendere più complicata la procedura di rimozione dell’infezione. Si nasconde all’utente cancellando la propria icona dalla schermata principale del dispositivo mobile. Successivamente si connette ad un server di comando e controllo (C&C) rimanendo in attesa di istruzioni.

Quali azioni può eseguire:

• intercettare e inviare messaggi SMS
• richiedere permessi amministrativi
• copiare i contatti della rubrica
• inviare un messaggio SMS a tutti i contatti presenti in rubrica
• seguire la posizione del dispositivo utilizzando i satelliti GPS
• ottenere il file di configurazione con una lista delle applicazioni bancarie da attaccare
• visualizzare finestre di phishing

Qual è la tecnica per rubare i dati sensibili:

monitora l’avvio da parte dell’utente di oltre 30 applicazioni android, questo controllo permetterà di scaricare da un server un falso modulo che imita quello delle impostazioni di servizio di pagamento Google Play e che verrà visualizzato dalla vittima sul proprio dispositivo. Ecco alcune delle APP monitorate dal trojan:

• credenziali per accedere ai servizi della propria banca
• Facebook
• Viber
• Youtube
• Messenger
• WhatsApp
• Uber
• Snapchat
• WeChat
• imo
• Instagram
• Twitter

Altre due caratteristiche impotanti di BankBot sono quelle di inviare, verso un server remoto, gli SMS ricevuti dalla vittima cancellandoli in un secondo tempo dal dispositivo e di disattivare sia la suoneria che la vibrazione del mobile device, questo per non permettere all’utente di verificare le eventuali notifiche inviate dalla propria banca riguardo transazioni bancarie non previste.