Un nuovo malware prende di mira gli utenti di Facebook e minaccia i conti correnti bancari, attraverso un attacco agli smartphone con sistema Android. A scoprirlo - scrive Adnkronos - gli esperti internazionali per la sicurezza digitale di ESET NOD32, che hanno lanciato l’allarme su una schermata fake che potrebbe apparire in fase di accesso a Facebook, chiedendo di inserire per fittizi motivi di sicurezza il proprio numero di cellulare a scopo identificativo. Il messaggio non è generato da Facebook.
Gli hacker utilizzano un Trojan chiamato Win32/Qadars per far visualizzare il messaggio fuorviante sul social network, nel tentativo di infettare gli smartphone con il malware denominato Android iBanking (già rilevato dai ricercatori di ESET come Android/Spy.Agent.AF). Così facendo gli hacker possono ascoltare le chiamate dagli smartphone Android, intercettare gli SMS e tutte le conversazioni effettuate in prossimità del telefono, carpendo potenzialmente anche i dati bancari dell’utente.
Il malware Win32/Qadars viene utilizzato per iniettare il messaggio nel browser tramite JavaScript, facendolo apparire, a tutti gli effetti, come un messaggio mostrato da Facebook. Se si commette l’errore di inserire il numero di cellulare, sarà richiesto di scaricare un’app per smartphone Android. L’applicazione è ospitata da un sito diverso dall'ufficiale e più attendibile Google Play Store. In questo caso potrebbe essere necessario modificare le impostazioni di Android per consentire l’installazione.
Una volta installato, il Trojan è in grado di spiare le comunicazioni dell’utente, comprese le chiamate vocali e i messaggi SMS, accedere alle liste dei contatti e ai registri delle chiamate, registrare l'audio catturato dal microfono del dispositivo Android in qualsiasi momento e individuare le sue coordinate GPS. Il trojan individua gli utenti in regioni specifiche e utilizza file di configurazione WebInject su misura per le banche più comunemente utilizzate dalle vittime che lo rende molto più efficace.
Il malware è stato osservato da ESET negli ultimi mesi e la società può confermare che si aggiorna continuamente. iBanking è un'app Android dannosa che una volta installata su un telefono cellulare è in grado di spiare le comunicazioni del suo utente. In passato Android iBanking è stato utilizzato per aggirare i sistemi di autenticazione a due fattori intercettando gli mTAN, numeri di autorizzazione di transazioni mobili, inviati via SMS da molte banche on-line e dai social network Google+, Twitter e Facebook.
Riconoscendo come i metodi di autenticazione a due fattori siano sempre più utilizzati da servizi Web, bancari e non, negli ultimi tempi i cybercriminali hanno cominciato a perfezionare ulteriormente le tecniche per tentare di aggirarli. "In effetti - spiega ESET - bisogna domandarsi: se Facebook sta lanciando una nuova funzionalità di sicurezza, che chiede a sua volta l’installazione di una nuova applicazione su telefono Android, non dovrebbe utilizzare il normale App Store Android per distribuirlo?".
"La verità è naturalmente che si sta cercando di ingannare l’utente per spingerlo ad installare il Trojan Android iBanking sul proprio smartphone. Sebbene il malware possa essere usato per rubare i token di autenticazione a due fattori su una varietà di siti web, tra cui i social network, sembra probabile che per ancora un pç di tempo i principali bersagli saranno i conti bancari online". iBanking è un'app che mette in mostra caratteristiche complesse rispetto ad altri precedenti malware di mobile banking, come Perkele.
Quando la vittima visita il sito della sua banca Web, il Trojan (sia esso Zeus o Citadel o altro) inietta codice dannoso nel browser della vittima, chiedendo all'utente di inserire le informazioni del suo cellulare, compreso il numero di telefono e il tipo di sistema operativo. Tale informazione viene trasmessa di nuovo al server per il controllo dell'attaccante, che inietta più codice nel browser della vittima spingendolo alla scansione di un codice QR con il suo dispositivo mobile per installare un falso meccanismo di sicurezza aggiuntivo.
Quando la vittima visita il sito della sua banca Web, il Trojan (sia esso Zeus o Citadel o altro) inietta codice dannoso nel browser della vittima, chiedendo all'utente di inserire le informazioni del suo cellulare, compreso il numero di telefono e il tipo di sistema operativo. Tale informazione viene trasmessa di nuovo al server per il controllo dell'attaccante, che inietta più codice nel browser della vittima spingendolo alla scansione di un codice QR con il suo dispositivo mobile per installare un falso meccanismo di sicurezza aggiuntivo.
Nessun commento:
Posta un commento