Gli analisti di ThreatFabric hanno di recente scoperto una rete di siti Web di phishing che prendono di mira le utenze di home banking italiane con una tecnica ibrida. La ricerca ha infatti definito una connessione tra questa rete e il trojan bancario Android chiamato Copybara, che verrebbe consegnato tramite attacchi di vishing dagli stessi attori delle minacce, secondo il paradigma TOAD (Telephone-Oriented Attack Delivery).
“Con l’aumento della popolarità degli attacchi di phishing vocale (vishing), in cui i criminali istruiscono le vittime nell’installazione di malware bancario Android, stiamo entrando in una nuova era di attacchi di frode ibrida“, specificano gli esperti.
La campagna mirata all’Italia
La campagna scoperta si rivolgerebbe ai clienti di alcune banche italiane tramite siti di phishing che impersonano diversi servizi finanziari e antifrode.
Le minacce di tipo TOAD implicano che dopo aver inviato i dati sul sito di phishing, le vittime vengano contattate da un operatore di supporto utilizzando il numero di telefono precedentemente raccolto. Durante questa chiamata, la vittima viene così convinta e istruita a installare del software aggiuntivo.
Il software installato potrebbe essere sia un legittimo strumento di accesso remoto, utilizzato dai criminali informatici per avere un controllo remoto abusivo sul dispositivo target, che un software malevolo specifico sviluppato/gestito dagli attaccanti, come nella campagna in oggetto che prevederebbe l’installazione del Trojan bancario Copybara.
Nello specifico, la vittima installerà un’app downloader che scaricherà il payload effettivo spacciandolo come un aggiornamento.
Copybara RAT
I primi campioni di Copybara rilevati da ThreatFabric risalirebbero a novembre 2021. Nonostante fosse indicato come BRATA da altri ricercatori, gli analisti ritengono che il malware appartenga ad una famiglia diversa, nonostante l’utilizzo dello stesso framework per lo sviluppo e molte parti del codice risultino “direttamente copiate e incollate da altri moduli disponibili pubblicamente“.
Tra le capacità riscontrate:
- Comunicazione C2;
- accesso remoto, consentendo di nascondere le azioni malevole sul dispositivo tramite un overlay semitrasparente (utilizzando i dati precedentemente rubati via phishing);
- abuso di AccessibilityService, per aprire app arbitrarie, installarne nuove, eseguire click e scorrimenti, inserire testo nei campi di testo;
- capacità di rimuovere l’app bancaria originale;
- capacità di creare dinamicamente moduli di input falsi e mostrarli alle vittime.
Massima attenzione
Come confermato dai ricercatori gli attacchi TOAD stanno diventando una tendenza nell’attuale panorama delle minacce in ambito mobile, in quanto garantiscono un’elevata probabilità di successo grazie all’approccio basato su tecniche di ingegneria sociale che consente non solo di ingannare gli utenti ma anche di ottenere installazioni di trojan o addirittura di strumenti di accesso remoto legittimi e ritenuti attendibili dai motori antivirus.
Per tutti questi motivi occorre prestare sempre la massima attenzione, ricordando che mai nessun operatore di banca chiederà codici PIN, codici OTP e domande di sicurezza, tutte informazioni che invece lo ricordiamo devono essere assolutamente tenute segrete.
