Il malware Android MaliBot, scoperto di recente, sta emergendo come una delle minacce più diffuse per gli utenti finali, secondo l’ultimo Global Threat Index mensile di Check Point Research. È emerso dal nulla nelle ultime settimane per diventare il terzo malware mobile più diffuso, dopo AlienBot e Anubis, e riempire il vuoto lasciato dall’eliminazione di FluBot a maggio.
MaliBot ha iniziato a farsi notare nel giugno 2022 ed è stato scoperto dai ricercatori di F5 Labs nel corso del loro lavoro su FluBot. All’epoca prendeva di mira soprattutto i clienti delle banche online in Italia e Spagna, ma le sue capacità lo rendono una minaccia rilevante per gli utenti Android di tutto il mondo.
Secondo F5, si camuffa da app per il mining di criptovalute, ma in realtà ruba informazioni finanziarie, credenziali, portafogli di criptovalute e dati personali. È anche in grado di rubare e aggirare i codici di autenticazione multifattoriale (MFA). La sua infrastruttura di comando e controllo (C2) si trova in Russia e sembra avere collegamenti con i malware Sality e Sova.
Viene distribuito attirando le vittime su siti web fraudolenti che le incoraggiano a scaricare il malware, oppure tramite smishing, presentando alle vittime un codice QR che conduce all’APK del malware.
“Sebbene sia sempre positivo vedere che le forze dell’ordine riescono a sconfiggere gruppi di criminali informatici o malware come FluBot, purtroppo non ci è voluto molto perché un nuovo malware mobile prendesse il suo posto“, ha dichiarato Maya Horowitz, vicepresidente della ricerca di Check Point Software.
“I criminali informatici sono ben consapevoli del ruolo centrale che i dispositivi mobili svolgono nella vita di molte persone e sono sempre in grado di adattare e migliorare le loro tattiche. Il panorama delle minacce si sta evolvendo rapidamente e il malware mobile rappresenta un pericolo significativo per la sicurezza personale e aziendale. Non è mai stato così importante disporre di una solida soluzione di prevenzione delle minacce mobili“.
Nel frattempo, Emotet ha mantenuto senza sorpresa il primo posto come malware più diffuso in assoluto, anche se Snake Keylogger – un infostealer – continua la sua ascesa fulminea, salendo al terzo posto dopo essere entrato nella classifica mensile di Check Point all’ottavo posto a giugno.
Inizialmente diffuso tramite file PDF contaminati, le campagne più recenti di Snake lo hanno visto arrivare in documenti Word camuffati da richieste di preventivo.
Emotet sembra anche cambiare le sue tattiche, con una nuova variante segnalata il mese scorso che prende di mira gli utenti di Google Chrome e che ora include il furto dei dati della carta di credito.
La top 10 completa del mese di giugno è la seguente:
- Emotet – un trojan trasformato in botnet utilizzato come distributore per altri malware e campagne ransomware.
- Formbook – un malware-as-a-service (MaaS) che ruba informazioni ai dispositivi Windows.
- Snake Keylogger – un infostealer particolarmente evasivo e persistente che può rubare praticamente tutti i tipi di informazioni sensibili.
- Agent Tesla – un trojan avanzato per l’accesso remoto (RAT) che funziona come keylogger e infostealer.
- XMRig – un software open-source per il mining della CPU utilizzato per estrarre Monero.
- Remcos – un altro RAT specializzato nell’aggirare la sicurezza di Windows per eseguire malware con privilegi elevati.
- Phorphix – un’altra botnet nota per alimentare altre famiglie di malware, nonché campagne di spam e sextortion.
- Ramnit – un trojan bancario modulare specializzato nel furto di credenziali per gli account bancari e dei social media.
- Glupteba – una backdoor trasformata in botnet che include una capacità integrale di furto di browser e un router exploiter.
- NJRat – un altro RAT utilizzato dai criminali informatici e dagli aggressori degli Stati nazionali, noto per propagarsi attraverso chiavi USB o unità di rete infette.
