Android system

di Rosygen, 07 Aprile 2022

I trojan bancari sono un problema concreto che sta assumendo proporzioni importanti. Un rapporto di Zimperium ha evidenziato che i dieci trojan bancari più prolifici su sistema operativo Android prendono di mira un totale di 639 applicazioni finanziarie che complessivamente sono state scaricate oltre un miliardo di volte dal Google Play Store. 

Questa minaccia informatica si nasconde all'interno di app apparentemente innocue, come strumenti di produttività o giochi, intrufolandosi nello store ufficiale di Google. Una volta che questi trojan riescono ad infettare un dispositivo, vanno a sovrapporre schermate contraffatte a quelle di accesso delle app bancarie legittime, allo scopo di rubare credenziali, monitorare notifiche e riuscire ad intercettare le One Time Password dei sistemi di sicurezza a due fattori, riuscendo talvolta a compiere frodi finanziarie ai danni dell'utente.

Secondo quanto riferisce Zimperium, ciascuno di questi trojan è riuscito a ritagliarsi uno spazio di riferimento sul mercato dei malware, e vengono usati per scopi specifici e funzionalità chiave che li differenziano dagli altri.

Gli Stati Uniti sono il primo Paese con 121 app prese di mira, seguiti dal Regno Unito con 55 app. Al terzo posto si trova l'Italia, con 43 app bancarie/finanziarie prese di mira dai trojan bancari. Seguono poi Turchia, Australia e Francia rispettivamente con 34, 33 e 31 app nel mirino.

La classifica stilata da Zimperium comprende:

1. BianLian - Bersagli: Binance, BBVA e diverse app turche. Una recente versione del trojan che risale allo scorso aprile può scavalcare photoTAN, considerato uno dei metodi di autenticazione forte in campo online banking
2. Cabassous - Bersagli: Barclays, CommBank, Halifax, Lloys e Santander. Fa uso di un algoritmo di generazione del dominio (DGA) per eludere il rilevamento e le rimozioni.
3. Coper - Bersagli: BBVA, Caixa Bank, CommBank e Santander. Esegue un monitoraggio attivo della lista di "app consentite" per l'ottimizzazione della batteria, modificandola per sfuggire alle restrizioni
4. EventBot - Bersagli: Barclays, Intensa, BancoPosta e varie altre app italiane. Si maschera da Microsoft Word o Adobe Flash e può scaricare nuovi moduli malware da fonti remote.
5. Exobot - Bersagli: PayPal, Binance, Cash App, Barclays, BBVA e CaixaBank. Si tratta di un malware molto leggero, che impiega poche risorse di sistema, fa uso di librerie condivise e recupera le schermate contraffatte dal server di comando e controllo solamente quando necessario
6. FluBot - Bersagli: BBVA, Caixa, Santander e varie altre app spagnole. E' un trojan conosciuto per la sua capacità di diffondersi rapidamente tramite SMS inviati ai contatti dei dispositivi compromessi
7. Medusa - Bersagli: BBVA, CaixaBank, Ziraat e diverse app bancarie turche. Può eseguire frodi direttamente sul dispositivo abusando del servizio di accessibilità e agire come un normale utente fingendosi il legittimo proprietario dell'account.
8. Sharkbot - Bersagli: Binance, BBVA e Coinbase. E' caratterizzato da un nutrito arsenale di contromisure per evadere il rilevamento e la cancellazione, e instaura una comunicazione con il server di comando e controllo protetta da crittografia forte.
9. Teabot - Bersagli: PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile e Coinbase. E' provvisto di keylogger dedicato per ciascuna app, e lo carica quando l'utente la avvia.
10. Xenomorph - Bersagli: BBVA e varie app bancarie con sede nell'UE. Funge anche da collettore per recuperare altri malware sul dispositivo compromesso.