I ricercatori di sicurezza informatica di Group-IB hanno pubblicato di recente un rapporto riguardo ad un pericoloso trojan bancario Android, soprannominato “GodFather”. Tale malware starebbe prendendo di mira app bancarie e wallet di criptovaluta in almeno 16 nazioni. I ricercatori riterrebbero inoltre che GodFather potrebbe essere una variante del famigerato trojan bancario Anubis, il cui codice sorgente, come noto, è stato trapelato nel gennaio 2019 su un forum di hacking clandestino.
Metodi di diffusione
Il malware disponibile come malware-as-a-service (MaaS) su canali Telegram verrebbe nascosto all’interno di applicazioni esca apparentemente legittime e disponibili su Google Play.
Secondo l’analisi condotta tali app sarebbero in grado, una volta eseguite, anche di emulare una scansione Google Protect, che in realtà non viene eseguita. Viene piuttosto visualizzato un messaggio che indica che non sono state trovate applicazioni malevoli mentre il malware ottiene la persistenza sul dispositivo infetto, avvia la comunicazione C2 (il cui indirizzo codificato attraverso il cifrario Blowfish, verrebbe recuperato via Telegram) e nasconde l’icona dell’app appena installata dall’elenco delle installazioni. Il processo di installazione richiederebbe anche un accesso al Servizio di Accessibilità. Vale la pena notare come il malware controlli che la lingua e il contesto del sistema infetto appartenga a utenti di paesi post-sovietici per autoeliminarsi in caso affermativo.
“Con l’accesso a AccessibilityService, Godfather si rilascia i permessi necessari e inizia a comunicare con il server C&C. L’utente presuppone che non ci siano trojan sul dispositivo e avvia la propria applicazione bancaria, inserendo i propri dati di accesso e senza rendersi conto che i propri dati sono appena finiti nelle mani degli attori delle minacce. L’utente alla fine scopre che i soldi dal proprio conto sono spariti. Potrebbero provare a revocare le autorizzazioni o eliminare l’applicazione, ma le impostazioni continueranno a crollare e il dispositivo continuerà a tornare alla schermata principale.“, commenta Artem Grischenko analista malware di Group-IB.
Pertanto, quando l’utente interagisce con la propria applicazione bancaria , il malware mostra con un overlay una falsa pagina web della banca presa di mira, per rubare nomi utente e password, insieme a codici 2FA via SMS.
Le principali funzionalità
Oltre alle capacità overlay, GodFather sarebbe in grado anche di abusare delle API di accessibilità dei sistemi Android, registrare sequenze di tasti, registrare video, rubare registri delle chiamate e SMS e acquisire screenshot. Ecco un elenco dettagliato:
- Registrare lo schermo del dispositivo della vittima
- Stabilire connessioni VNC
- Avvio di keylogger
- Esfiltrazione delle notifiche push (per bypassare l’autenticazione a due fattori);
- Inoltro chiamate (per bypassare l’autenticazione a due fattori)
- Esecuzione di richieste USSD
- Invio di messaggi SMS da dispositivi infetti
- Avvio di server proxy
- Stabilire connessioni WebSocket
Una volta stabilita la connessione, il malware invierebbe al server C2 anche le seguenti informazioni afferenti al dispositivo infetto:
- Nome dell’operatore di rete
- Stato del telefono (bloccato o sbloccato)
- Se le autorizzazioni AccessibilityService sono state concesse
- Se è stato installato il servizio del trojan per la gestione dei messaggi SMS
- Se sono state concesse le autorizzazioni necessarie (scrittura su memoria esterna, lettura dei contatti, lettura dello stato del dispositivo ed esecuzione di chiamate)
- L’agente utente predefinito per il dispositivo
- Se il dispositivo è in carica (la nuova versione non ha questa funzione)
- Il codice paese dell’attuale operatore di rete
- ID bot (il parametro chiave )
- Se lo schermo è attualmente in fase di registrazione
- Elenco delle applicazioni installate
- Versione Android
- Modello del dispositivo
Gli obiettivi
Secondo il rapporto di Group-IB , nell’ultima ondata di attacchi, gli operatori di GodFather avrrebbero preso di mira circa 215 banche, 110 piattaforme di scambio di criptovalute e 94 fornitori di crypto wallet. Tra gli obiettivi ci sarebbe anche l’Italia con ben 12 app bancarie.
Le raccomandazioni per gli utenti
I ricercatori nel rimarcare come Godfather danneggi non solo gli utenti finali delle applicazioni bancarie ma anche l’intero settore bancario, suggeriscono alcune raccomandazioni di base su come prevenire infezioni da trojan bancari Android:
- Controllare sempre gli aggiornamenti del proprio dispositivo mobile.
- Non scaricare applicazioni da fonti diverse da Google Play (anche se Google Play non può garantire la totale sicurezza).
- Verificare sempre quali autorizzazioni richiede un’applicazione.
- Non visitare risorse di terze parti e sospette.
- Prestare attenzione allo smishing.
