Un nuovo ceppo di malware per Android è stato individuato in Spagna e in Italia per colpire i clienti di banche online e portafogli di criptovalute, poche settimane dopo che un’operazione coordinata delle forze dell’ordine ha smantellato FluBot.
Flubot, smantellata l’infrastruttura dello spyware
Il trojan per il furto di informazioni, nome in codice MaliBot di F5 Labs, è ricco di funzionalità come le sue controparti, e consente di rubare credenziali e cookie, di aggirare i codici di autenticazione a più fattori (MFA) e di abusare del servizio di accessibilità di Android per monitorare lo schermo del dispositivo della vittima.
MaliBot è noto per camuffarsi principalmente da app per il mining di criptovalute, come Mining X o The CryptoApp, distribuite tramite siti web fraudolenti progettati per attirare i potenziali visitatori a scaricarle.
MaliBot prende anche spunto dai trojan per il mobile banking, in quanto utilizza lo smishing come vettore di distribuzione per far proliferare il malware, accedendo ai contatti di uno smartphone infetto e inviando messaggi SMS contenenti link al malware.
“Il comando e controllo (C2) di MaliBot si trova in Russia e sembra utilizzare gli stessi server usati per distribuire il malware Sality“, ha dichiarato Dor Nizar, ricercatore di F5 Labs. “Si tratta di una rielaborazione pesantemente modificata del malware SOVA, con funzionalità, obiettivi, server C2, domini e schemi di impacchettamento diversi“.
Trojan bancario Android
SOVA (che in russo significa “gufo”), rilevato per la prima volta nell’agosto del 2021, si distingue per la sua capacità di condurre attacchi in overlay, che funzionano visualizzando una pagina fraudolenta tramite WebView con un link fornito dal server C2 nel caso in cui la vittima apra un’app bancaria inclusa nell’elenco dei bersagli attivi.
Alcune delle banche prese di mira da MaliBot con questo approccio sono UniCredit, Santander, CaixaBank e CartaBCC.
Accessibility Service è un servizio in background eseguito nei dispositivi Android per assistere gli utenti disabili. Da tempo viene sfruttato da spyware e trojan per catturare i contenuti del dispositivo e intercettare le credenziali inserite da utenti ignari in altre app.
Oltre a essere in grado di trafugare le password e i cookie dell’account Google della vittima, il malware è progettato per sottrarre i codici 2FA dall’app Google Authenticator e per esfiltrare informazioni sensibili come i saldi totali e le frasi seed dalle app Binance e Trust Wallet.
Inoltre, Malibot è in grado di sfruttare il suo accesso alle API di accessibilità per sconfiggere i metodi di autenticazione a due fattori (2FA) di Google, come i prompt di Google, anche in scenari in cui si tenta di accedere agli account utilizzando le credenziali rubate da un dispositivo precedentemente sconosciuto.
“La versatilità del malware e il controllo che offre agli aggressori sul dispositivo fanno sì che, in linea di principio, possa essere utilizzato per una gamma di attacchi più ampia rispetto al furto di credenziali e criptovalute”, hanno dichiarato i ricercatori.
“In effetti, qualsiasi applicazione che faccia uso di WebView è soggetta al furto delle credenziali e dei cookie degli utenti”.
