Video: Banking Trojan hidden behind every app on alternative Android store (Novembre 2024)
SecurityWatch non è estraneo a malware mobile, attacchi botnet e Trojan bancari, ma la maggior parte delle persone ha solo una vaga comprensione di come questi tre sembrano combinati. Quali sono alcune delle maggiori minacce di mobile banking che colpiscono gli utenti oggi?
Con migliaia di campioni di malware unici creati ogni giorno, è facile dimenticare che molti di essi sono varianti di malware esistenti in circolazione. I ricercatori li raggruppano in famiglie di malware per tenere traccia di come si evolvono. Dare un'occhiata alle famiglie di malware mobili sembrava di cadere nella proverbiale tana del coniglio. Dove andremo dopo? Abbiamo chiesto alla società di Web intelligence Recorded Future di aiutarci.
Recorded Future offre una piattaforma di Web intelligence che analizza le informazioni raccolte da un'ampia varietà di fonti per collegare informazioni correlate e trovare modelli. Le infezioni da malware tendono ad essere ripetitive man mano che si diffondono su migliaia e milioni di computer, facilitando la loro previsione e tracciabilità, ha dichiarato a Security Watch Chris Ahlberg, fondatore di Record Future.
The Old Guard
Se ci fosse un concorso a quiz e sorgesse una domanda sui tre più grandi Trojan di mobile banking, il team di Security Watch sarebbe facilmente in grado di scuotere i nomi Zeus, SpyEye e Carberp. Zeus, il nonno dei Trojan bancari, è apparso per la prima volta nel 2006 ed è passato alla piattaforma mobile nel 2010. Ci sono state varianti Zitmo (Zeus-in-the-mobile) per vari sistemi operativi mobili: non si limita solo ad Android.
La cosa degna di nota di Zeus è che sebbene il vero creatore, noto solo al mondo come "Slavik", sia entrato in pensione alcuni anni fa, rimane molto attivo perché altri criminali hanno continuato a perfezionare il malware per renderlo più resistente alle forze dell'ordine e difese di sicurezza.
SpyEye è apparso sulla scena nel 2009 come rivale di Zeus e, nel 2010, aveva superato il vecchio trojan bancario per la quantità di danni causati. SpyEye aveva un'interfaccia intuitiva, veniva regolarmente aggiornato e veniva venduto sul mercato nero con prezzi che variavano da $ 1.000 a $ 8.500. L'elemento mobile è apparso nel gennaio 2011.
Si ritiene che SpyEye sia uno dei tipi di malware di maggior successo nella storia, il che è piuttosto impressionante considerando che l'FBI ritiene che il software sia stato venduto a soli 150 individui. Un cliente, noto come Soldato, ha rubato $ 3, 2 milioni in soli sei mesi.
Il racconto di SpyEye potrebbe essere vicino alla fine, poiché la mente dietro SpyEye, Aleksandr Andreevich Panin, si è dichiarata colpevole di cospirazione per commettere frodi su filo e banda di recente e dovrebbe essere condannata il 29 aprile. Gli esperti ritengono che, a differenza di Zeus, che continua a migliorare e evolvere anche senza il creatore originale al timone, SpyEye svanirà e altri Trojan bancari prenderanno il suo posto.
Malware in evoluzione
La banda dietro Carberp ha iniziato le operazioni nel 2009, ma in realtà non è passata al regno mobile fino al 2012, quando i ricercatori hanno scoperto componenti Android dannosi mascherati da app di mobile banking dalle due maggiori banche russe, Sberbank e Alfa-Bank. Il Trojan Carberp ha preso di mira vittime in Russia, Ucraina, Bielorussia, Kazakistan e Moldavia.
Anche se il presunto capobanda della banda, 20 presunti sviluppatori e altre otto persone associate a Carberp sono state arrestate dalle autorità russe e ucraine, la storia di Carberp non è finita, poiché il codice sorgente di Carberp è trapelato nel 2013. Proprio come Zeus, chiunque ora può modificare Carberp. È possibile che mentre in origine Carberp rimanesse in Russia e nelle ex repubbliche sovietiche, nuove varianti possano apparire in Europa, negli Stati Uniti o in America Latina.
The Upstart Trojans
Hesperbot e Qadar sono i nuovi ragazzi del blocco per il malware bancario. Entrambi scoperti nel 2013, sono stati impegnati in Europa, Asia e Australia. I ricercatori sono venuti a conoscenza di Hesperbot nel 2013, prima in Turchia e poi in Cecoslovacchia. Hesperbot ha funzionalità simili a SpyEye e Zeus, insieme a trucchi più avanzati, come la possibilità di creare un server VNC nascosto sul sistema infetto per l'accesso remoto.
I dati mostrano che si è diffuso dalla Turchia al Portogallo e al resto d'Europa. Ci sono state segnalazioni di infezioni in Australia proprio questo mese. Hesperbot si diffonde usando una tecnica abbastanza comune (ma efficace!): E-mail di phishing mascherate da messaggi dei servizi postali. Le vittime vengono indotte a installare il contagocce Hesperbot.
Il grafico di Qadar è relativamente silenzioso, ma è già attivo in Olanda, Francia, Canada, India, Australia e Italia. Come Zeus, si basa su un attacco man-in-the-browser per iniettare campi e altri elementi di pagina su pagine HTML. Gli utenti sono indotti a rinunciare a informazioni sensibili come le credenziali del mobile banking o mostrano pagine diverse per nascondere transazioni bancarie fraudolente.
I trojan per il mobile banking sono molto attivi e mirano ai dispositivi degli utenti per ottenere l'accesso ai tuoi conti bancari. Proprio come proteggi i tuoi PC per prevenire le infezioni da malware, fai attenzione a ciò che fai con i tuoi dispositivi mobili. Fai attenzione alle app che stai scaricando e fai attenzione ai messaggi SMS o e-mail sospetti che ti richiedono informazioni personali. Puoi anche dare un'occhiata alle nostre cattive app ogni settimana sul Mobile Threat lunedì.