C'è un nuovo malware Android in circolazione, ed è particolarmente attivo in Italia. Si chiama DroidBot e tenta di rubare le credenziali per accedere a oltre 77 app, bancarie e per comprare criptovalute.
Scoperto dai ricercatori della società italiana di cybersicurezza Cleafy, questo malware è attivo da giugno 2024 ed è venduto sui forum come servizio al prezzo di 3.000 dollari al mese. Ecco cosa si sa ed eventualmente come difendersi, perché è in grado di intercettare gli SMS bancari e rubare le credenziali di accesso.
Cos'è e cosa fa DroidBot
Cos'è DroidBot
DroidBot è un malware Android di tipo RAT (Remote Access Trojan) scoperto da Cleafy nell'ambito di un'indagine sui malware che prendono di mira i dispositivi Android.
Nominato così per il nome di dominio utilizzato dagli hacker, DroidBot agisce come trojan e combina diverse tipologie di attacco. Il tutto per rubare informazioni sensibili, come le credenziali di accesso alle app bancarie (e di compravendita alle criptovalute) e gli SMS per l'autenticazione a due fattori.
Di per sé non si tratta di una tecnologia particolarmente innovativa, ma secondo i ricercatori di Cleafy è in fase attiva di sviluppo, ed è offerto come servizio a pagamento. Il che potrebbe espanderne ulteriormente il raggio di azione e l'efficacia.
Cosa fa DroidBot
DroidBot viene installato attraverso il sideload (ovvero l'installazione del file APK e non attraverso il Play Store). I ricercatori hanno scoperto che è spesso mascherato da app come Google Chrome, Play Store o Android Security come un modo per indurre gli utenti a installarlo.
Una volta installato sul dispositivo, DroidBot è in grado di:
- Mostrare una finta schermata di accesso di un'applicazione bancaria (Overlay attack)
- Catturare ogni informazione digitata sullo schermo dall'utente (Key-logging). Questo avviene sfruttando i servizi di accessibilità, come molti malware simili
- Intercettare SMS per l'autenticazione a due fattori
- Fare screenshot periodici del telefono per mostrare cosa fa l'utente in tempo reale (VNC-like routine)
- Controllo remoto del dispositivo (premere tasti, navigare tra le app, compilare moduli)
Una caratteristica piuttosto insolita è l'utilizzo del metodo di comunicazione C2 (Command-and-Control) che sfrutta il protocollo MQTT (Message Queuing Telemetry Transport).
Questa soluzione, utilizzata in IoT e nei servizi di messaggistica, consente di inviare i dati ai server esterni e di rendere più difficile l'identificazione. Non solo, ma aumenta la flessibilità operativa e la resilienza del malware, rendendolo più semplice da aggiornare in futuro per espanderne le funzionalità.
In pratica i criminali informatici hanno a disposizione un vero e proprio pannello C2 da cui operare e gestire il dispositivo. Non solo, ma questo pannello consente anche di creare modifiche automatiche del malware per adattarsi alle situazioni e personalizzarlo secondo necessità. Quindi cambiare lingua, server, o app da attaccare.
Chi è a rischio
I ricercatori hanno scoperto che DroidBot è attivo da giugno 2024 e al momento sono noti 776 dispositivi infettati.
Le app attaccate
Sono 77 le app bancarie e di gestione delle criptovalute a rischio. Tra quelle più note per gli utenti italiani segnaliamo:
- UniCredit
- BNP Paribas
- Bancaperta
- CheBanca
- Banca Sella
- Credem
- PostePay
- CariGe
- Intesa SanPaolo (com.latuabancaperandroid)
- Kraken
- KuCoin
- Credit Agricole
- Santander
Dove è attivo
I ricercatori di Cleafy ipotizzano che la minaccia provenga dalla Turchia, in quanto screenshot di schermate e commenti nel codice sono in turco.
Non solo, ma alcuni screenshot condivisi sui forum hanno fatto risalire almeno alcuni componenti del team ad Ankara.
Da qui il malware però si è espanso notevolmente e risulta particolarmente attivo nel Regno Unito (il Paese più colpito), Italia, Francia, Spagna e Portogallo. Ci sono inoltre indicazioni di espansione in regioni dell'America Latina.
Il pericolo maggiore: è venduto come servizio
Se DroidBot non è particolarmente innovativo, il pericolo maggiore è il fatto che sia venduto come servizio (MaaS, Malware-as-a-Service).
Questo consente di abbassare notevolmente il livello di esperienza dei criminali informatici che possono sfruttare il malware.
Cleafy ha infatti scoperto che i presunti creatori del malware hanno offerto i suoi servizi a 3.000 dollari al mese su un forum in lingua russa, indirizzando gli interessati su un canale Telegram.
In pratica chi paga per il servizio riceve tutti gli strumenti per operare in autonomia e gestire gli attacchi.
Quindi il generatore di malware, i server di comando e controllo e il pannello di amministrazione centrale di cui abbiamo parlato in precedenza, da cui possono controllare le loro operazioni, recuperare i dati rubati ed emettere comandi.
I ricercatori di Cleafy hanno individuato già 17 gruppi affiliati che operano sulla stessa infrastruttura C2, con identificatori univoci assegnati a ciascun gruppo.
Come difendersi
Come abbiamo visto, DroidBot è in grado di entrare in un telefono quando si installa un'app che si finge qualcos'altro, come Chrome, Play Store o altro. Quindi per mitigare questa minaccia si consiglia agli utenti Android di scaricare solo app da Google Play.
È inoltre sempre opportuno esaminare le richieste di autorizzazione al momento dell'installazione e assicurarsi che Play Protect sia attivo sui loro dispositivi. Come abbiamo visto, DroidBot sfrutta i servizi di accessibilità, quindi non concediamo autorizzazioni che non dovrebbero essere richieste dalle app che installiamo. In caso di dubbio, effettuiamo sempre una ricerca su Internet.
La sicurezza su Android
Ci sono diversi strumenti per tenere i propri dispositivi Android al sicuro, ma il primo siamo noi: ecco alcuni approfondimenti per essere più consapevoli e sapere cosa possiamo fare per la nostra vita digitale.