Trojan bancari: Come ti svuotano il conto corrente

I Trojan bancari attaccano diversi tipi di dispositivi ma ho scelto di focalizzare la discussione su Android, per 3 motivi che messi insieme ne fanno il target ideale:

• Sono ancora i sistemi operativi mobile più diffusi al mondo, ovvero tramite i quali è possibile raggiungere il maggior numero di vittime.
• I controlli di Google Play si possono raggirare riuscendo a caricarvi app malevole.
• La comodità delle app unita alla prontezza d’uso di uno smartphone o di un tablet rendono ogni operazione veloce e quindi preferibile.

Perciò potendo scegliere è diventato naturale preferire la manualità più immediata dell’uso di uno smartphone, in quanto sempre acceso, in tasca e pronto all’uso. Per questo concepire quanto siamo legati a questi dispositivi è diventato fondamentale, perché ci espone a dei pericoli.

Dato che mettiamo le cinture solo per non prendere la multa, tra i tanti tipi di mobile trojan ho scelto proprio quelli bancari, in parole povere che ci rubano soldi invece di informazioni sensibili.

Nessuno tiene dati importanti sul telefono, nessuno ritiene che i propri abbiano un valore, ma dato che fino a prova contraria i soldi sono soldi, con i Trojan Banker il discorso cambia.

Avete mai provato ad effettuare un’acquisto con l’app di Amazon? EBay o tanti altri famosi shop on line? Ogni acquisto è una scelta ponderata ma molte, tante volte, è un impulso del momento che ci porta a comprare, questi strumenti ci danno la possibilità immediata di farlo, inserendo i dati della carta di credito.

Oltre a quelle per lo shopping online, ogni istituto di credito mette a disposizione dei propri clienti un’app che permette di effettuare qualsiasi operazione bancaria tramite smartphone e tablet, dalla semplice visualizzazione del saldo, all’estratto conto, ricariche, bonifici, ecc.

Ed ecco che certi di effettuare un’operazione sicura rischiamo invece di cadere in un guaio, anche in questo caso ci troviamo a parlare di Phishing.

Ci sono diverse modalità di truffa ma la caratteristica comune è che i Trojan Banker sono malware in grado di rubare le credenziali di accesso ed effettuare una disposizione bancaria verso un conto estero dell’ Hacker.

Un primo esempio specifico di trojan banker che utilizza la tecnica di phishing è Android.ZBot, la cui installazione viene veicolata tramite un’altra app apparentemente innocua che funge da dropper.

Android.ZBot assume l’aspetto dell’applicazione Google Play e chiede all’utente la conferma dei privilegi di amministratore del dispositivo, tramite i quali è poi in grado di utilizzare gli SMS per intercettare le autentificazioni a doppio fattore nonché monitorare le app utilizzate sul dispositivo. 

Se non confermiamo tali privilegi comunque non si arrende, perché genera una falsa schermata di Google Wallet, il metodo di pagamento utilizzato per acquistare nel mondo Google, allo scopo di farci inserire i dati della carta di credito e inviarli all’esterno. Infatti trattandosi di Android è praticamente certo l’utilizzo di Google Play e quindi una richiesta di questo tipo dall’utente può essere considerata lecita.

Questa però non è l’unica possibilità di phishing attuabile da Android.ZBot, avendo i privilegi di amministratore può monitorare il dispositivo e generare una falsa schermata dell’applicazione bancaria utilizzata dall’utente, al momento le varianti possibili sono circa 40.

Un altro esempio storico è ZitMo, si tratta di un trojan banker per Android che lavora in abbinata con Zeus, che invece risiede sul PC, infatti l’infezione dello stesso smartphone è provocata dall’operato di Zeus.

L’attacco è di tipo diverso perché si riferisce a quei casi in cui l’operazione di home banking viene eseguita dal PC, con l’ausilio dello smartphone per l’autentificazione a due fattori basata su SMS.

ZitMo si spaccia per un’app di sicurezza corredata di certificati, i nomi che può assumere sono i seguenti:

• Trusteer Rapport
• Android Security Suite Premium
• Zertifikat

 E come è giusto che sia i permessi richiesti per l’installazione sono:

• RECEIVE_SMS
• SEND_SMS

Si tratta della volontà di utilizzare gli SMS allo scopo di inoltrarli agli hacker, tra i quali si trova anche quello contenente il codice necessario per concludere l’operazione, che per ragioni di sicurezza viene inviato via SMS. Lato ZitMo non si tratta quindi di phishing bensì di spyware.

Dato che in questo contesto l’operazione bancaria viene eseguita dal PC, l’abbinata Zeus e Zitmo permette di reperire tutte le credenziali necessarie per violare l’home banking della vittima.

Di seguito altre tecniche utilizzate dai trojan banker.

Il repacking consiste nello scaricare l’app (APK) di una certa banca, decompilarla per modificare il codice, ricompilarla, firmarla con la chiave privata e caricarla sullo store. Il risultato sarà che l’utente farà un bonifico su un altro conto corrente.

Un altro modo per ottenere l’accesso è un keylogger, si occupa di leggere tutti gli input da tastiera che l’utente digita per inviarli all’esterno. E’ una tecnica utilizzata anche sui PC ma su device come smartphone e tablet, che non hanno una tastiera fisica, assume una connotazione particolare. In questo caso infatti viene inviato il modello del device e le coordinate XY premute sullo schermo dall’utente. Con queste due informazioni è in grado ricostruire i caratteri corrispondenti nella sequenza digitata.

Il form grabbing invece è usato per intercettare i dati inseriti tramite tastiera virtuale o con il “copia incolla”. Si tratta sempre di un malware che nel momento in cui clicchiamo sul tasto “submit” per confermare i dati inseriti nella form, li comunica all’esterno prima che vengano inviati dal browser.

Quello che dobbiamo fare è avere un utilizzo consapevole, che non vuol dire temerlo ma prestare attenzione. Ancora non consideriamo importante proteggere lo smartphone quanto proteggere il PC ma oggi siamo in errore come non mai.

Sul mercato sono disponibili già da tempo soluzioni di sicurezza per questo scopo e nella maggior parte dei casi le stesse suite antivirus che installiamo sul PC sono compatibili anche con smartphone e tablet, Android ma anche iOS.

Non sei convinto?

Dai un’occhiata a questo fac-simile di Security Check Up, è pieno di esempi di minacce in circolazione tra cui le PUA (Potentially Unwanted Applications), non ti piacerebbe averlo con i dati reali sulla tua rete aziendale?