I trojan bancari nell’epoca in cui è possibile gestire i propri conti correnti dal proprio smartphone sono un problema diventato concreto e anche preoccupante, questo è quanto è emerso dall’ultimo rapporto di Zimperium che ha evidenziato dieci trojan super diffusi che sono in grado di infettare e bucare oltre 639 app finanziarie scaricate miliardi di volte nel mondo.
Queste app malware per diffondersi sfruttano il medesimo meccanismo già visto e rivisto, si intrufolano nel Play Store spacciandosi come banali app innocue, per poi però assumere il controllo del device una volta installate, vanno ad esempio a sovrapporre schermate contraffatte a quelle di accesso ufficiali delle app bancarie per poter copiare le credenziali di accesso e le chiavi OTP.
A guidare la classifica ci pensano gli Stati Uniti con 121 app prese di mira, seguiti dal Regno Unito con 55 app, mentre al terzo posto si trova l’Italia, con 43 app bancarie/finanziarie prese di mira dai trojan bancari.
Il trojan che invece ha il range di app attaccabili più ampio è teabot, in grado di bucare 410 app, mentre di contro l’app che ha più malware aggressori è invece BBVA, aggredibile da 7 dei dieci malware.
I dieci trojan bancari più diffusi
Ecco di seguito la lista di Zimperium con i Trojan e i loro bersagli:
- BianLian: Binance, BBVA e diverse app turche. Una recente versione del trojan che risale allo scorso aprile può scavalcare photoTAN, considerato uno dei metodi di autenticazione forte in campo online banking
- Cabassous: Barclays, CommBank, Halifax, Lloys e Santander. Fa uso di un algoritmo di generazione del dominio (DGA) per eludere il rilevamento e le rimozioni.
- Coper: BBVA, Caixa Bank, CommBank e Santander. Esegue un monitoraggio attivo della lista di “app consentite” per l’ottimizzazione della batteria, modificandola per sfuggire alle restrizioni
- EventBot: Barclays, Intensa, BancoPosta e varie altre app italiane. Si maschera da Microsoft Word o Adobe Flash e può scaricare nuovi moduli malware da fonti remote.
- Exobot: PayPal, Binance, Cash App, Barclays, BBVA e CaixaBank. Si tratta di un malware molto leggero, che impiega poche risorse di sistema, fa uso di librerie condivise e recupera le schermate contraffatte dal server di comando e controllo solamente quando necessario
- FluBot: BBVA, Caixa, Santander e varie altre app spagnole. E’ un trojan conosciuto per la sua capacità di diffondersi rapidamente tramite SMS inviati ai contatti dei dispositivi compromessi
- Medusa: BBVA, CaixaBank, Ziraat e diverse app bancarie turche. Può eseguire frodi direttamente sul dispositivo abusando del servizio di accessibilità e agire come un normale utente fingendosi il legittimo proprietario dell’account.
- Sharkbot: Binance, BBVA e Coinbase. E’ caratterizzato da un nutrito arsenale di contromisure per evadere il rilevamento e la cancellazione, e instaura una comunicazione con il server di comando e controllo protetta da crittografia forte.
- Teabot: PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile e Coinbase. E’ provvisto di keylogger dedicato per ciascuna app, e lo carica quando l’utente la avvia.
- Xenomorph: BBVA e varie app bancarie con sede nell’UE. Funge anche da collettore per recuperare altri malware sul dispositivo compromesso.