Minacce agli utenti Android
Gli hacker Android stanno attualmente prendendo di mira più di 800 applicazioni nei settori bancario, delle criptovalute e dei social media. La società di cybersecurity Zimperium ha rivelato che i suoi ricercatori hanno identificato quattro famiglie di malware attive, le quali utilizzano un’infrastruttura avanzata di comando e controllo per rubare credenziali, effettuare transazioni finanziarie non autorizzate ed estrarre dati su larga scala.
“Collettivamente, queste campagne prendono di mira oltre 800 applicazioni nei settori bancario, delle criptovalute e dei social media. Grazie a tecniche avanzate di anti-analisi e manomissione strutturale degli APK, queste famiglie di malware mantengono spesso tassi di rilevamento quasi nulli contro i meccanismi di sicurezza tradizionali basati su firme,” ha dichiarato Zimperium.
I nomi delle famiglie di malware identificate sono RecruitRat, SaferRat, Astrinox e Massiv.
Metodi di attacco
Gli attaccanti si avvalgono comunemente di siti web di phishing, offerte di lavoro fraudolente, aggiornamenti software falsi, truffe via messaggio di testo e inganni promozionali per convincere le vittime a installare app Android dannose. Una volta installato, il malware può:
- Richiedere permessi di accessibilità
- Nascondere le icone delle app
- Bloccare i tentativi di disinstallazione
- Rubare PIN e password tramite schermate di blocco false
- Catturare codici di accesso temporanei
- Trasmettere in streaming gli schermi dei dispositivi in tempo reale
- Sovrapporre pagine di accesso contraffatte su app bancarie o di criptovalute legittime
“Gli attacchi di sovrapposizione rimangono la pietra angolare del ciclo di raccolta delle credenziali. Utilizzando i Servizi di Accessibilità per monitorare il primo piano, il malware rileva il momento esatto in cui una vittima avvia un’applicazione finanziaria. A quel punto, il malware recupera un payload HTML dannoso e lo sovrappone all’interfaccia utente dell’applicazione legittima, creando una facciata altamente convincente e ingannevole,” ha aggiunto l’azienda.
Strategie di evasione
Zimperium ha anche dichiarato che queste campagne utilizzano comunicazioni HTTPS e WebSocket per mescolare il traffico dannoso con l’attività normale dell’app, mentre alcune varianti aggiungono strati di crittografia extra per eludere la rilevazione.
