Ricercatori di sicurezza hanno sviluppato un nuovo attacco, denominato AutoSpill, per rubare credenziali di account su Android durante l’operazione di compilazione automatica e presentato in occasione del Black Hat Europe.

Come funziona AutoSpill

Le app Android spesso utilizzano i controlli WebView per visualizzare contenuti web, come pagine di login all’interno dell’app, invece di reindirizzare gli utenti al browser principale. I gestori di password su Android utilizzano il framework WebView della piattaforma per digitare automaticamente le credenziali dell’utente quando un’app carica la pagina di login di servizi come Apple, Facebook, Microsoft o Google.

I ricercatori hanno scoperto che è possibile sfruttare le debolezze in questo processo per catturare le credenziali compilate automaticamente sull’app che le richiama, anche senza iniezione di JavaScript.

Impatto e Risoluzione

I ricercatori hanno testato AutoSpill contro una selezione di gestori di password su Android 10, 11 e 12 e hanno scoperto che 1Password 7.9.4, LastPass 5.11.0.9519, Enpass 6.8.2.666, Keeper 16.4.3.1048 e Keepass2Android 1.09c-r0 sono suscettibili agli attacchi a causa dell’utilizzo del framework di compilazione automatica di Android. Google Smart Lock 13.30.8.26 e DashLane 6.2221.3 seguono un approccio tecnico diverso per il processo di compilazione automatica e non hanno rivelato dati sensibili all’app ospitante a meno che non sia stata utilizzata l’iniezione di JavaScript.

I ricercatori hanno divulgato le loro scoperte ai fornitori di software interessati e al team di sicurezza di Android, condividendo le loro proposte per affrontare il problema. Le loro segnalazioni sono state riconosciute come valide, ma non sono stati condivisi dettagli sui piani di risoluzione.

Risposte dei fornitori di Gestori di Password

1Password ha affermato che una correzione per AutoSpill è stata identificata e attualmente è in fase di lavorazione. LastPass ha già implementato un avviso in-app quando l’app rileva un tentativo di sfruttare l’exploit. Keeper ha misure di sicurezza per proteggere gli utenti dal riempimento automatico delle credenziali in un’applicazione non affidabile o in un sito non autorizzato esplicitamente dall’utente.

Google ha raccomandato ai gestori di password di terze parti di essere sensibili a dove vengono inserite le password e ha implementato protezioni server-side per i login tramite WebView.

Microsoft ha pubblicato il quarto rapporto della sua serie di Cyberattacchi, esaminando un attacco di phishing e smishing (phishing tramite SMS) che ha preso di mira un utente legittimo e altamente privilegiato attraverso tecniche di ingegneria sociale. L’attacco ha permesso al cyberattaccante di impersonare la vittima e manipolare un help desk per rimuovere il dispositivo autenticato con multifattore e registrare il proprio.

Utenti altamente privilegiati a rischio

Gli attacchi basati su credenziali spesso iniziano con attori di minaccia che prendono di mira individui collegati a persone con le credenziali necessarie. Questi attori conducono ricerche sui social e sul dark web per trovare e avvicinarsi a utenti altamente privilegiati e ottenere informazioni sufficienti per impersonarli. Utilizzano fiducia, contesto ed emozione per ingannare le persone con link di smishing.

Tattiche dell’Operazione di influenza

Una volta ottenuto l’accesso, gli attori della minaccia iniziano a raccogliere credenziali aggiuntive utilizzando strumenti di raccolta di credenziali di terze parti contro risorse cloud e on-premise. Modificano il flusso di autenticazione normale, consentendo loro di autenticarsi come qualsiasi utente nell’organizzazione, senza richiedere le loro credenziali.

Prevenzione degli Attacchi Cyber

Molti attacchi cyber possono essere prevenuti o resi più difficili da eseguire attraverso l’implementazione e la manutenzione di controlli di sicurezza di base. Le organizzazioni possono rafforzare le loro difese informatiche e proteggersi meglio dagli attacchi cyber comprendendo in profondità le ramificazioni di una violazione delle credenziali. Microsoft Incident Response può fornire assistenza esperta ai clienti quando un attacco diventa troppo complesso e difficile da mitigare da soli.

Serie di Cyberattacchi di Microsoft

Con questa serie di Cyberattacchi, i clienti scopriranno come i rispondenti agli incidenti di Microsoft indagano su exploit unici e notevoli. Per ogni storia di cyberattacco, verranno condivisi dettagli su come è avvenuto l’attacco, come è stata scoperta la violazione, l’indagine e l’espulsione dell’attore della minaccia da parte di Microsoft e strategie per evitare attacchi simili.

Il rapporto di Microsoft evidenzia l’importanza di educare i dipendenti per ridurre il rischio di attacchi di ingegneria sociale e condivide cinque elementi proattivi di un approccio Zero Trust che può proteggere contro attori di minacce altamente motivati e tenaci come Octo Tempest.

Più di una dozzina di app di prestito con malware, collettivamente denominate SpyLoan, sono state scaricate oltre 12 milioni di volte quest’anno da Google Play. Tuttavia, il numero è molto più elevato considerando che sono disponibili anche su store di terze parti e siti web sospetti.

Funzionamento e rischi di SpyLoan

Queste minacce Android rubano dati personali dai dispositivi, inclusi elenchi di account, informazioni sul dispositivo, registri delle chiamate, app installate, eventi del calendario, dettagli della rete Wi-Fi locale e metadati delle immagini. Il rischio si estende anche a contatti, dati di posizione e messaggi di testo. Si spacciano per servizi finanziari legittimi per prestiti personali, promettendo “accesso rapido e facile ai fondi”, ma ingannano gli utenti facendoli accettare pagamenti ad alto interesse e poi ricattandoli per ottenere il denaro.

Scoperta e Rimozione delle App SpyLoan

Dal principio dell’anno, la società di cybersecurity ESET, membro dell’App Defense Alliance dedicata a rilevare ed eradicare il malware da Google Play, ha scoperto 18 app SpyLoan. Google ha rimosso 17 di queste app dannose in seguito alle segnalazioni di ESET, mentre una di esse è ora disponibile con un diverso set di autorizzazioni e funzionalità e non viene più rilevata come minaccia SpyLoan.

Diffusione e Prevalenza di SpyLoan

Le app SpyLoan sono state osservate per la prima volta nel 2020, ma sono diventate più diffuse su sistemi Android e iOS a partire dall’anno scorso. I canali di distribuzione attuali includono siti web fraudolenti, software su app store di terze parti e Google Play. La rilevazione di SpyLoan è aumentata nel corso del 2023, con una maggiore prevalenza in paesi come Messico, India, Thailandia, Indonesia, Nigeria, Filippine, Egitto, Vietnam, Singapore, Kenya, Colombia e Perù.

Rischi Multi-Facciali e consigli di Difesa

Le app SpyLoan violano la politica dei Servizi Finanziari di Google, accorciando unilateralmente la durata dei prestiti personali a pochi giorni o ad altri periodi arbitrari e minacciando gli utenti di ridicolizzazione ed esposizione se non si conformano. Per difendersi dalla minaccia SpyLoan, è consigliabile affidarsi solo a istituzioni finanziarie consolidate, esaminare attentamente le autorizzazioni richieste durante l’installazione di una nuova app e leggere le recensioni degli utenti su Google Play, che spesso contengono indizi sulla natura fraudolenta dell’app.