Recenti campagne di malware su dispositivi Android stanno prendendo di mira gli utenti in India attraverso tattiche di ingegneria sociale usando trojan bancari. Utilizzando piattaforme social come WhatsApp e Telegram, gli aggressori inviano messaggi ingannevoli per indurre gli utenti a installare app fraudolente che impersonano organizzazioni legittime, come banche e servizi governativi.
Tecniche di attacco e rischi
Queste app fraudolente, una volta installate, esfiltrano varie tipologie di informazioni sensibili, tra cui dati personali, dettagli bancari, informazioni delle carte di pagamento e credenziali di accesso. Queste minacce non sono nuove, ma continuano a rappresentare un rischio significativo per gli utenti di dispositivi mobili, portando a perdite finanziarie, violazioni della privacy, problemi di prestazioni del dispositivo e furto o corruzione di dati.
Analisi dei Casi di Attacco
La campagna attiva attualmente si concentra sulla condivisione diretta di file APK malevoli con gli utenti mobili in India. L’indagine ha analizzato due applicazioni fraudolente che si spacciano per app bancarie ufficiali. Queste app, imitando banche e istituzioni finanziarie legittime, utilizzano tattiche di ingegneria sociale per rubare informazioni.
Consigli per la Difesa
È fondamentale che gli utenti installino applicazioni solo da store ufficiali e siano cauti di fronte a false attrattive, come dimostrato in questi casi. Microsoft, attraverso la sua ricerca continua sulle minacce mobili, monitora queste campagne di malware e ha notificato le organizzazioni impersonate da queste campagne di app fraudolente.
Dettagli tecnici e analisi delle app fraudolente
Caso 1: App bancaria falsa mirata alle Informazioni dell’Account
Una recente campagna di phishing su WhatsApp ha portato alla scoperta di un’attività di trojan bancari su Android. Gli aggressori condividono un file APK malevolo che, una volta interagito, installa un’app fraudolenta sul dispositivo della vittima. Questa app si spaccia per l’app ufficiale di “Conoscenza del Cliente” (KYC) di una banca legittima in India, ingannando gli utenti a fornire informazioni sensibili.
Funzionalità dell’App fraudolenta
All’installazione, l’app mostra un’icona bancaria e procede a richiedere permessi basati su SMS. Dopo aver ottenuto i permessi, l’app richiede agli utenti di inserire il numero di cellulare, il PIN dell’ATM e i dettagli della carta PAN. Le informazioni raccolte vengono poi inviate a un server di comando e controllo (C2) e al numero di telefono codificato nell’app.
Analisi tecnica
L’analisi del file AndroidManifest dell’app ha rivelato che richiede due permessi runtime pericolosi: Receive_SMS e Send_SMS. Questi permessi consentono all’app di intercettare e inviare SMS, inclusi quelli contenenti password monouso (OTP), che possono essere utilizzati per bypassare l’autenticazione a più fattori (MFA) e rubare denaro dal conto bancario della vittima.
Caso 2: App bancaria falsa mirata ai dettagli della Carta di Pagamento
Un secondo caso coinvolge un’app fraudolenta capace di rubare dettagli delle carte di credito. L’app mira a raccogliere informazioni personali e dettagli di pagamento, inclusi il numero della carta a 16 cifre, il numero CVV e la data di scadenza.
Raccomandazioni per gli Utenti
Per prevenire tali minacce, si raccomanda di:
- Installa solo app da fonti attendibili e store ufficiali, come Google Play Store e Apple App Store.
- Non fare mai clic su collegamenti sconosciuti ricevuti tramite annunci, messaggi SMS, e-mail o fonti simili non attendibili.
- Utilizza soluzioni mobili come Microsoft Defender per Endpoint su Android per rilevare applicazioni dannose
- Mantieni sempre disabilitato Installa app sconosciute sul dispositivo Android per impedire l’installazione di app da fonti sconosciute.