Secondo l’ultimo rapporto di Trend Micro, due nuove campagne di malware, motivate finanziariamente, starebbero prendendo di mira i dispositivi Android con trojan bancari per carpire criptovaluta e informazioni personali dagli account dei rispettivi utenti. E’ noto che il cyber crime, come in questo caso, per raggiungere i propri obiettivi fraudolenti distribuisca false applicazioni Android con malware pubblicizzandole su Google Play Store, siti Web di phishing e piattaforme social.
Soprannominate CherryBlos e FakeTrade dai ricercatori, le due campagne sarebbero potenzialmente correlate secondo Trend Micro: entrambi i tipi di malware utilizzerebbero certificati applicativi e infrastruttura di rete identici.
Cherryblos
La campagna malware CherryBIos sfrutterebbe i siti di social network per promuovere servizi e annunci falsi, indirizzando gli utenti verso siti di phishing per indurli a scaricare e installare app Android infette. Nella fattispecie il malware (CherryBIos) apparso in natura nell’aprile 2023, una volta installato, consentirebbe di rubare le credenziali e alterare gli indirizzi di criptovalute dirottandoli verso conti controllati dagli attaccanti.
Tra le caratteristiche del malware ci sarebbero:
- Lo sfruttamento dell’OCR (il riconoscimento ottico dei caratteri) per leggere frasi mnemoniche trovate nelle immagini dei dispositivi compromessi e inviarle come dati a un server C2 presidiato.
- Lo sfruttamento delle autorizzazioni di accessibilità Android per eseguire in realtà le proprie attività malevole. Queste autorizzazioni legittime infatti sono invece progettate per aiutare le persone con disabilità ad interagire con i dispositivi.
Il gruppo Telegram sponsor
“Dopo ulteriori indagini, siamo stati in grado di rintracciare la sua fonte in un gruppo di Telegram chiamato Ukraine ROBOT che ha pubblicato messaggi relativi al mining di criptovaluta dall’inizio del 2023. Il profilo di questo gruppo punta direttamente al sito Web di phishing in cui è stato scaricato il malware“, si legge nel rapporto Trend Micro.
FakeTrade, l’altra campagna correlata
I ricercatori avrebbero anche scoperto un’altra campagna correlata (“Abbiamo molta fiducia nell’attribuire le campagne allo stesso autore a causa dell’infrastruttura di rete condivisa e dei certificati delle app“, afferma Trend Micro) con circa 31 app Android false che distribuiscono il malware FakeTrade, la maggior parte delle quali sono applicazioni e-commerce che propinano presunti guadagni di denaro, acquisti crediti, ricariche che in realtà non fanno altro che rubare fondi.
Le best practice consigliate
Trend Micro per difendersi da tali minacce, raccomanda agli utenti di adottare queste buone pratiche:
- Scaricare solo app da fonti attendibili e sviluppatori affidabili.
- Controllare le valutazioni e le recensioni delle app prima dell’installazione.
- Applicare le patch di sicurezza e gli aggiornamenti del sistema operativo più recenti per i dispositivi, poiché spesso contengono correzioni per vulnerabilità note.
- Installa e mantieni una soluzione di sicurezza mobile affidabile per rilevare e bloccare malware e altre minacce.
- Prestare attenzione quando si concedono autorizzazioni alle app, in particolare quelle che richiedono l’accesso a informazioni sensibili o impostazioni di sistema.
- Evitare di fare click su collegamenti sospetti o di scaricare allegati da fonti sconosciute, poiché potrebbero nascondere malware o tentativi di phishing.
Tutti gli IoC sono disponibili su questo link.
