Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

DroidBot Sbarca in Italia! Il Malware Android che Ruba le Credenziali a 77 App Bancarie

Redazione RHC : 5 Dicembre 2024 16:57

Il nuovo malware bancario Android DroidBot mira a rubare credenziali da 77 app bancarie e di criptovaluta (tra cui Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Credit Agricole, Kraken e Garanti BBVA).

Alla scoperta del MaaS DroidBot

La società che ha scoperto DroidBot, Cleafy, riferisce che è attivo da giugno 2024 e opera secondo lo schema malware-as-a-service (MaaS). L’abbonamento a DroidBot costa 3.000 dollari al mese e molte cyber gang utilizzano questo servizio per scopi specifici.

Secondo Cleafy, il malware attacca principalmente utenti nel Regno Unito, Italia, Francia, Spagna e Portogallo. Sebbene DroidBot non abbia funzionalità nuove o sofisticate, l’analisi di una sola delle botnet costruite su di esso ha rivelato 776 casi unici di infezione nel Regno Unito, Italia, Francia, Turchia e Germania. Allo stesso tempo, i ricercatori avvertono che il malware è attualmente in fase di sviluppo e che i suoi attacchi si stanno espandendo in nuove regioni, compresi i paesi dell’America Latina.

Un Malware altamente personalizzabile


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Gli analisti ritengono che i creatori di DroidBot si trovino in Turchia e forniscano ai propri clienti gli strumenti già pronti necessari per sferrare attacchi. Questo “pacchetto di servizi” includono:

  • Intercettazione degli SMS : il malware monitora i messaggi SMS in arrivo, spesso utilizzati dagli istituti finanziari per inviare numeri di autenticazione delle transazioni (TAN), consentendo agli aggressori di aggirare i meccanismi di autenticazione a due fattori.
  • Key-Logging : sfruttando i servizi di accessibilità, DroidBot cattura le informazioni sensibili visualizzate sullo schermo o immesse dall’utente, come credenziali di accesso, dati personali o saldi dei conti.
  • Attacco overlay : questo approccio consiste nel visualizzare una falsa pagina di accesso sopra l’applicazione bancaria legittima una volta che la vittima la apre, per intercettare credenziali valide.
  • Routine di tipo VNC: DroidBot acquisisce periodicamente screenshot del dispositivo della vittima, fornendo agli autori della minaccia dati visivi continui che offrono una panoramica in tempo reale dell’attività del dispositivo.
  • Interazione con lo schermo : sfruttando il pieno potenziale dei servizi di accessibilità, DroidBot consente il controllo remoto del dispositivo infetto. Ciò include l’esecuzione di comandi per simulare le interazioni dell’utente, come toccare pulsanti, compilare moduli e navigare tra le applicazioni, consentendo di fatto agli aggressori di utilizzare il dispositivo come se fossero fisicamente presenti.

Poiché diversi client lavorano sulla stessa infrastruttura (e a ciascun gruppo viene assegnato un ID univoco), i ricercatori sono stati in grado di identificare 17 gruppi diversi utilizzando DroidBot. Il generatore di payload consente ai clienti di personalizzare DroidBot per applicazioni specifiche, utilizzare lingue diverse e impostare i propri indirizzi del server di controllo. Gli utenti del malware hanno inoltre accesso a documentazione dettagliata, supporto tecnico e accesso al canale Telegram, dove vengono regolarmente pubblicati gli aggiornamenti.

Un Trojan che si maschera da Applicazione legittima

DroidBot spesso si maschera da applicazione come Google Chrome, Google Play Store o Android Security per indurre gli utenti a installare malware. Nonostante queste forme innocue, si comporta come un Trojan su un dispositivo infetto e cerca di rubare informazioni riservate da applicazioni specifiche.

Come molti altri malware Android, DroidBot abusa dei servizi di accessibilità per tenere traccia delle azioni dell’utente e simulare passaggi e tocchi.

Va osservato che DroidBot non è ancora penetrato nel negozio ufficiale di Google Play. Pertanto, per proteggersi da tali attacchi, i ricercatori invitano gli utenti a installare applicazioni solo da fonti attendibili e a esaminare attentamente quali autorizzazioni richiedono.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

In Nepal si muore per i Social Network! In 19 hanno perso la vita per riavere Facebook
Di Redazione RHC - 09/09/2025

Con una drammatica inversione di tendenza, il Nepal ha revocato il blackout nazionale sui social media imposto la scorsa settimana dopo che aveva scatenato massicce proteste giovanili e causato almeno...

Le Aziende italiane dei call center lasciano online tutte le registrazioni audio
Di Redazione RHC - 09/09/2025

Le aziende italiane che utilizzano piattaforme di telefonia online (VoIP) basate su software open-source come Asterisk e Vicidial, si affidano a questi sistemi per contattare quotidianamente i cittadi...

Tasting the Exploit: HackerHood testa l’exploit di WINRAR CVE-2025-8088
Di Redazione RHC - 09/09/2025

Manuel Roccon, leader del team etico HackerHood di Red Hot Cyber, ha realizzato una dettagliata dimostrazione video su YouTube che espone in modo pratico come funziona CVE-2025-8088 di WinRAR. Il vide...

L’ambizione di Xi Jinping e degli APT Cinesi
Di Alessio Stefan - 08/09/2025

I macro movimenti politici post-covid, comprendendo i conflitti in essere, hanno smosso una parte predominante di stati verso cambi di obbiettivi politici sul medio/lungo termine. Chiaramente è stato...

Minaccia Houthi o incidente misterioso? Il Mar Rosso paralizza Asia e Medio Oriente
Di Redazione RHC - 07/09/2025

Come abbiamo riportato questa mattina, diversi cavi sottomarini nel Mar Rosso sono stati recisi, provocando ritardi nell’accesso a Internet e interruzioni dei servizi in Asia e Medio Oriente. Micros...