Durante il monitoraggio del trojan di mobile banking FluBot, F5 Labs ha recentemente scoperto un nuovo ceppo di malware Android che è stato soprannominato “MaliBot“.
Sebbene i suoi obiettivi principali siano i clienti di servizi bancari online in Spagna e in Italia, la sua capacità di rubare credenziali, cookie e aggirare i codici di autenticazione a più fattori (MFA), significa che gli utenti Android di tutto il mondo devono essere vigili.
Alcune delle caratteristiche chiave di MaliBot includono:
Advertising
MaliBot si traveste da app di mining di criptovalute denominata “Mining X” o “The CryptoApp” e occasionalmente assume altre forme, come “MySocialSecurity” e “Chrome”;
MaliBot si concentra sul furto di informazioni finanziarie, credenziali, portafogli crittografici e dati personali (PII) e prende di mira anche le istituzioni finanziarie in Italia e Spagna;
Malibot è in grado di rubare e bypassare codici multifattoriali (2FA/MFA);
Include la possibilità di controllare in remoto i dispositivi infetti utilizzando un’implementazione del server VNC.
La distribuzione di MaliBot viene eseguita attirando le vittime su siti Web fraudolenti in cui vengono indotte a scaricare il malware o inviando direttamente messaggi di phishing SMS (smishing) a numeri di cellulare.
Risposta contenente i comandi di injection/overlay (Fonte F5)
Il server di comando e controllo (C2) di MaliBot si trova in Russia e sembra utilizzare gli stessi server utilizzati per distribuire il malware Sality.
Molte campagne hanno avuto origine da questo IP dal giugno del 2020. È una rielaborazione pesantemente modificata del malware SOVA, con diverse funzionalità, target, server C2, domini e schemi di compressione.
Una volta installato il malware, questo ha diverse funzionalità che portano alla totale compromissione del dispositivo e più nello specifico consente:
Attacchi Web injection/overlay
Furto di portafogli di criptovaluta (Binance, Trust)
Accesso VNC al dispositivo e cattura dello schermo
La possibilità di eseguire ed eliminare applicazioni su richiesta
La possibilità di inviare messaggi SMS su richiesta
Raccolta di informazioni dal dispositivo, inclusi IP, AndroidID, modello, lingua, elenco delle applicazioni installate, schermo e stati di blocco e segnalazione delle capacità del malware
Ampia registrazione di eventuali operazioni riuscite o fallite, attività telefoniche (chiamate, SMS) ed eventuali errori
Gli autori del malware hanno finora creato due campagne, “Mining X” e “TheCryptoApp”, ognuna delle quali ha un sito Web con un collegamento per il download del malware.
Advertising
Per aggirare le protezioni MFA, abusa dell’API di accessibilità per fare clic sulle richieste di conferma degli avvisi in arrivo sui tentativi di accesso sospetti, invia l’OTP al C2 e lo inserisce automaticamente quando richiesto.
Inoltre, il malware può rubare i codici MFA da Google Authenticator ed eseguire questa azione su richiesta, aprendo l’app di autenticazione senza alcuna interazione da parte dell’utente. Come qualunque altro banking trojan, anche MailBot può rilevare quali app di banking sono installate nel dispositivo e di conseguenza eseguire il payload corrispondente e fornire all’utente una schermata di login fake che punta proprio al furto delle credenziali d’accesso per conti bancari o anche wallet di criptovalute.
Anche MailBot sfrutta potenti strumenti di evasione per eludere i sistemi di analisi e quindi insidiarsi nei device senza che venga rilevata alcuna attività anomala.
Per quanto questo malware possa risultare particolarmente pericoloso, il modo per proteggersi si affida essenzialmente al buon senso dell’utente, che dovrebbe evitare tassativamente di scaricare app da siti web non attendibili e sfruttare dunque lo store ufficiale di Google.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza:Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.