Italiani, fate attenzione a MailBot. Non scaricate APP da siti di terze parti

Durante il monitoraggio del trojan di mobile banking FluBot, F5 Labs ha recentemente scoperto un nuovo ceppo di malware Android che è stato soprannominato “MaliBot“. 

Sebbene i suoi obiettivi principali siano i clienti di servizi bancari online in Spagna e in Italia, la sua capacità di rubare credenziali, cookie e aggirare i codici di autenticazione a più fattori (MFA), significa che gli utenti Android di tutto il mondo devono essere vigili. 

Cybersecurity Awareness efficace? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?  Red hot cyber ha sviluppato da diversi anni una Graphic Novel (giunta al sesto episodio), l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Contattaci tramite WhatsApp al numero 375 593 1011 per saperne di più e richiedere informazioni oppure alla casella di posta graphicnovel@redhotcyber.com Supporta Red Hot Cyber  Seguendo RHC su Google news Seguendo RHC su Telegram Seguendo RHC su WhatsApp Acquistando il fumetto sul Cybersecurity Awareness Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Alcune delle caratteristiche chiave di MaliBot includono:

• MaliBot si traveste da app di mining di criptovalute denominata “Mining X” o “The CryptoApp” e occasionalmente assume altre forme, come “MySocialSecurity” e “Chrome”;
• MaliBot si concentra sul furto di informazioni finanziarie, credenziali, portafogli crittografici e dati personali (PII) e prende di mira anche le istituzioni finanziarie in Italia e Spagna;
• Malibot è in grado di rubare e bypassare codici multifattoriali (2FA/MFA);
• Include la possibilità di controllare in remoto i dispositivi infetti utilizzando un’implementazione del server VNC.

La distribuzione di MaliBot viene eseguita attirando le vittime su siti Web fraudolenti in cui vengono indotte a scaricare il malware o inviando direttamente messaggi di phishing SMS (smishing) a numeri di cellulare.

Il server di comando e controllo (C2) di MaliBot si trova in Russia e sembra utilizzare gli stessi server utilizzati per distribuire il malware Sality. 

Molte campagne hanno avuto origine da questo IP dal giugno del 2020. È una rielaborazione pesantemente modificata del malware SOVA, con diverse funzionalità, target, server C2, domini e schemi di compressione.

Una volta installato il malware, questo ha diverse funzionalità che portano alla totale compromissione del dispositivo e più nello specifico consente:

• Attacchi Web injection/overlay
• Furto di portafogli di criptovaluta (Binance, Trust)
• Furto di codici MFA/2FA
• Furto di cookie di sessione
• Furto di messaggi SMS
• La possibilità di bypassare l’autenticazione a due fattori di Google
• Accesso VNC al dispositivo e cattura dello schermo
• La possibilità di eseguire ed eliminare applicazioni su richiesta
• La possibilità di inviare messaggi SMS su richiesta
• Raccolta di informazioni dal dispositivo, inclusi IP, AndroidID, modello, lingua, elenco delle applicazioni installate, schermo e stati di blocco e segnalazione delle capacità del malware
• Ampia registrazione di eventuali operazioni riuscite o fallite, attività telefoniche (chiamate, SMS) ed eventuali errori

Gli autori del malware hanno finora creato due campagne, “Mining X” e “TheCryptoApp”, ognuna delle quali ha un sito Web con un collegamento per il download del malware.

Per aggirare le protezioni MFA, abusa dell’API di accessibilità per fare clic sulle richieste di conferma degli avvisi in arrivo sui tentativi di accesso sospetti, invia l’OTP al C2 e lo inserisce automaticamente quando richiesto.

Inoltre, il malware può rubare i codici MFA da Google Authenticator ed eseguire questa azione su richiesta, aprendo l’app di autenticazione senza alcuna interazione da parte dell’utente. Come qualunque altro banking trojan, anche MailBot può rilevare quali app di banking sono installate nel dispositivo e di conseguenza eseguire il payload corrispondente e fornire all’utente una schermata di login fake che punta proprio al furto delle credenziali d’accesso per conti bancari o anche wallet di criptovalute.

Anche MailBot sfrutta potenti strumenti di evasione per eludere i sistemi di analisi e quindi insidiarsi nei device senza che venga rilevata alcuna attività anomala.

Per quanto questo malware possa risultare particolarmente pericoloso, il modo per proteggersi si affida essenzialmente al buon senso dell’utente, che dovrebbe evitare tassativamente di scaricare app da siti web non attendibili e sfruttare dunque lo store ufficiale di Google.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research