Un malware Android rilevato di recente, in parte diffuso attraverso il Google Play Store, utilizza un nuovo modo per rubare le credenziali di accesso da oltre 100 applicazioni bancarie (come Unicredit, Intesa San Paolo ecc) e di criptovaluta.
Il malware, che i ricercatori della società di sicurezza ThreatFabric con sede ad Amsterdam chiamano Vultur, è tra le prime minacce Android a registrare lo schermo di un dispositivo ogni volta che viene aperta una delle app mirate. Vultur utilizza un’implementazione reale dell’applicazione di condivisione dello schermo VNC per eseguire il mirroring dello schermo del dispositivo infetto su un server controllato da un aggressore, hanno affermato i ricercatori di ThreatFabric.
Il modus operandi utilizzato dal malware consiste nel sovrapporre una finestra alla schermata di accesso all’app bancaria prescelta. L'”overlay“, come vengono solitamente chiamate tali finestre, appare identica all’interfaccia utente dell’app bancaria, dando alle vittime l’impressione che stiano inserendo le proprie credenziali in un software affidabile.
Gli aggressori quindi raccolgono le credenziali, le inseriscono nell’app in esecuzione su un dispositivo diverso e riescono cosi a prelevare il denaro.
“Le minacce bancarie sul piattaforma mobile non si basano più solo su noti attacchi overlay, ma si stanno evolvendo in malware simile a RAT, ereditando trucchi utili come il rilevamento di applicazioni in primo piano per avviare la registrazione dello schermo“, hanno scritto i ricercatori di ThreatFabric del nuovo approccio Vultur in un post.
Il report continua, spiegando che ciò porta la minaccia a un altro livello, poiché tali funzionalità aprono la porta alle frodi sul dispositivo, aggirando il rilevamento basato sul phishing: con Vultur le frodi possono verificarsi sul dispositivo infetto della vittima.
Questi attacchi sono scalabili e automatizzati poiché le azioni per eseguire il codice malevolo possono essere scriptate e inviate sotto forma di comandi.
Vultur, come molti trojan bancari per Android, fa molto affidamento sui servizi di accessibilità integrati nel sistema operativo. Alla prima installazione, Vultur approfitta di questi servizi per ottenere le autorizzazioni necessarie per funzionare. Per fare ciò, il malware utilizza un overlay preso da altre famiglie di malware. Da quel momento in poi, Vultur monitora tutte le richieste che attivano i servizi di accessibilità.