La botnet Android BianLian anche nota come Hydra emersa nel 2018 è ancora particolarmente attiva dall’inizio del 2022.
Questo è quanto emerge dall’ultima analisi condotta da Fortinet.
Secondo i ricercatori sarebbero state almeno tre le campagne scoperte e che prendono di mira istituti bancari europei.
Il malware Android
Il malware Android tipicamente si spaccia come app di utility o applicazione di mobile banking. In tutti i casi una volta installato, chiede alla vittima di attivare i servizi di accessibilità affinché l’app funzioni correttamente. In realtà, questa è solo una scusa per eseguire attacchi overlay e convalidare i moduli di login anche senza l’interazione dell’utente e restare in esecuzione background per comunicare con un server di comando e controllo.
Come funziona l’overlay
Ogni volta che la vittima avvia un’app di questo tipo il malware può scaricare del codice sullo smartphone per iniettare delle pagine Web da visualizzare in sovrapposizione alle app reali. In tal modo gli attaccanti possono ottenere credenziali di mobile banking senza influire sulle applicazioni mirate né sfruttarle ma semplicemente agendo in modalità man-in-the-middle.
Il video demo su attacco condotto da BianLian
Il video pubblicato mostra un esempio di infezione da malware Android BianLian, simulando anche una comunicazione con un server C2.
Dopo che l’utente attiva i servizi di accessibilità, l’app malevola (un video player nell’esempio) scompare dall’elenco delle applicazioni ma resta in esecuzione nascosta. Una volta che l’utente avvia un’applicazione ad esempio un’app bancaria autentica, il malware inserisce una pagina di accesso falsa sovrapponendola sull’app della banca esistente e sempre in background procede a carpire le credenziali inserite.
Lo sviluppo in corso
Ciò che preoccupa i ricercatori è l’aver trovato uno sviluppo in corso per il photo TAN. Questa potrebbe diventare un arma in più da sfruttare in futuro:
“Photo TAN è un popolare metodo di autenticazione a due fattori in cui l’utente scansiona una matrice mostrata sul proprio PC, laptop o tablet con lo smartphone. Questo genera un TAN per verificare gli ordini online. Abbiamo scaricato le corrispondenti pagine iniettate e fortunatamente le pagine web non sono ancora pronte”
Le applicazioni prese di mira
Le ultime evidenze dimostrerebbero anche che la Botnet LianBian prenderebbe di mira applicazioni home banking e app per la gestione di password e PIN integrate negli smartphone:
- At.aerztebank.aerztebankmobile
- A.bank99.meine.meine
- A.ing.diba.client.onlinebanking
- A.volksbank.volksbankmobile
- Com.bankaustria.android.olb
- Com.bawagpsk.bawagpsk
- Com.commerzbank.photoTAN
- Com.db.pbc.phototan.db
- Com.db.pwcc.dbmobile
- Com.easybank.easybank
- De.comdirect.app
- Mobile.santander.de.smartsign
- samsung.settings.pas
- huawei.settings.pin.
Contromisure
È consigliabile, pertanto, per evitare di essere infettati da un malware Android, che gli utenti continuino sempre a:
- Scaricare solo da app store ufficiali;
- verificare la legittimità delle app bancarie utilizzate;
- controllare le recensioni prima di ogni download di app;
- prestare attenzione alle autorizzazioni richieste durante l’installazione, concedendole solo se sicuri che siano effettivamente necessarie;
- abilitare dove possibile l’autenticazione multifattore;
- adoperare anche per gli smartphone degli strumenti antivirus adeguati;
- cercare di tenere aggiornati i propri dispositivi con patch di sicurezza e update.
Altri IoC a corredo
- a3b826de0c445f0924c50939494a26b0d99ef3ccac80faacca98673625656278
- hxxp://loa5ta2rso7xahp7lubajje6txt366hr3ovjgthzmdy7gav23xdqwnid[.]onion/api/mirrors
- hxxp://zhgggga[.]in
