Una recente campagna di malware su Android, mirata a banche iraniane, ha ampliato le sue capacità e adottato nuove tattiche di evasione per rimanere inosservata. Secondo un rapporto di Zimperium, sono state scoperte oltre 200 app dannose associate a questa operazione, con gli attori minacciosi che hanno anche condotto attacchi di phishing contro le istituzioni finanziarie colpite.
Evoluzione della Campagna di Malware
La campagna è emersa per la prima volta a luglio 2023, quando Sophos ha rilevato un gruppo di 40 app per la raccolta di credenziali, mirate ai clienti di Bank Mellat, Bank Saderat, Resalat Bank e Central Bank of Iran. L’obiettivo principale di queste app fraudolente è ingannare le vittime affinché concedano ampie autorizzazioni e raccogliere credenziali di accesso bancarie e dettagli delle carte di credito, abusando dei servizi di accessibilità di Android.
Tecniche e tattiche Utilizzate
Le app legittime corrispondenti alle versioni dannose sono disponibili su Cafe Bazaar, un marketplace Android iraniano, e hanno milioni di download. Le imitazioni dannose, invece, erano scaricabili da numerosi domini relativamente nuovi, alcuni dei quali utilizzati dagli attori della minaccia come server C2 (command-and-control). Alcuni di questi domini sono stati osservati anche per servire pagine HTML di phishing progettate per rubare credenziali dagli utenti mobili.
Nuove caratteristiche del malware
Le ultime scoperte di Zimperium illustrano l’evoluzione continua della minaccia, non solo in termini di un più ampio insieme di banche e app di portafogli di criptovalute mirate, ma anche incorporando funzionalità precedentemente non documentate che lo rendono più potente.
Questo include l’uso del servizio di accessibilità per concedere ulteriori autorizzazioni, intercettare messaggi SMS, impedire la disinstallazione e cliccare sugli elementi dell’interfaccia utente.
Implicazioni e Rischi
Mentre la campagna si è finora concentrata su Android, ci sono prove che anche il sistema operativo iOS di Apple sia un obiettivo potenziale, basato sul fatto che i siti di phishing verificano se la pagina è aperta da un dispositivo iOS e, in tal caso, indirizzano la vittima a un sito web che imita la versione iOS dell’app Bank Saderat Iran. Le campagne di phishing sono altrettanto sofisticate, impersonando i siti web reali per esfiltrare credenziali, numeri di conto, modelli di dispositivi e indirizzi IP su due canali Telegram controllati dagli attori.