I ricercatori sulla sicurezza informatica hanno appena rivelato un nuovo pericoloso trojan bancario proveniente dal Brasile e rivolto agli utenti Android in Spagna, Portogallo, Francia, e l'Italia.
Chiamato bizzarro, il trojan sta tentando di rubare le credenziali di accesso ai clienti di 70 banche. “Seguendo le orme di Tetrade, Bizarro sta usando affiliati o reclutando muli di denaro per rendere operativi i loro attacchi, incassare o semplicemente aiutare con i trasferimenti,"SecureList di Kaspersky condiviso nel loro rapporto.
Che cos'è il Trojan bancario Bizarro?
Gli operatori di Bizarro utilizzano affiliati o reclutano muli di denaro per rendere operativi i loro attacchi, così incassando o aiutando i trasferimenti. Il trojan utilizza vari componenti, tecniche di offuscamento, e viene distribuito tramite intelligenti tattiche di ingegneria sociale.
Secondo i risultati di Kaspersky, Bizarro ha moduli x64 ed è in grado di indurre gli utenti a condividere i loro codici 2FA in finte finestre pop-up. Il trojan utilizza altri trucchi per convincere le vittime a scaricare un'app per smartphone.
“Può anche utilizzare l'ingegneria sociale per convincere le vittime a scaricare un'app per smartphone. Il gruppo dietro Bizzaro utilizza server ospitati su Azure e Amazon (AWS) e server WordPress compromessi per archiviare il malware e raccogliere dati di telemetria," il rapporto rivelato.
Cosa succede dopo l'installazione di Bizarro Trojan su un dispositivo?
Una volta installato, il trojan è progettato per uccidere tutti i processi del browser in esecuzione e terminare le sessioni esistenti con i siti di banking online. Facendo questo, il trojan lo rassicura quando un utente apre una sessione di mobile banking, dovranno accedere di nuovo, consentendo al malware di rubare le credenziali di accesso. Inoltre, Bizarro disabilita anche la funzione di completamento automatico nel browser e utilizza falsi pop-up per raccogliere i codici 2FA. All'inizio che fuori, il malware dispone di un modulo di cattura dello schermo.
[Bizzarro] carica la libreria magnification.dll e ottiene l'indirizzo della funzione API MagSetImageScalingCallback deprecata. Con il suo aiuto, il trojan può catturare lo schermo di un utente e anche monitorare costantemente gli appunti di sistema, alla ricerca di un indirizzo di portafoglio Bitcoin. Se ne trova uno, viene sostituito con un portafoglio appartenente agli sviluppatori di malware, Kaspersky ha spiegato.
Tuttavia, la componente più pericolosa del trojan Bizarro è il suo modulo backdoor principale, in grado di eseguire più di 100 comandi.
Come funziona il componente Backdoor di Bizarro?
Prima di tutto, la backdoor non si avvia finché il trojan non rileva una connessione a uno dei sistemi di online banking hardcoded. Una volta stabilita la connessione, il trojan può eseguire uno qualsiasi dei suoi comandi.
Alcuni dei comandi principali di Bizarro sono i seguenti:
- Comandi che consentono agli operatori del server di comando e controllo di ottenere dati sulla vittima e gestire lo stato della connessione;
- Comandi che consentono agli aggressori di controllare i file che si trovano sul disco rigido della vittima;
- Comandi che consentono agli aggressori di controllare il mouse e la tastiera dell'utente;
- Comandi che consentono agli aggressori di controllare l'operazione backdoor, spegnimento, riavviare o distruggere il sistema operativo e limitare la funzionalità di Windows;
- Comandi che registrano le sequenze di tasti;
- Comandi che eseguono attacchi di ingegneria sociale.
Insomma: Operazione Trojan di Bizarro
I ricercatori di Kaspersky hanno anche condiviso di aver osservato numerosi trojan bancari dal Sud America, che espandono le loro operazioni principalmente ai paesi europei. Gli operatori di Bizarro stanno adottando rapidamente vari trucchi tecnici avanzati per convolgere l'analisi e il rilevamento del malware. Aggiunta di tattiche di ingegneria sociale intelligenti, il trojan sembra essere pienamente in grado di convincere le vittime a fornire volontariamente i propri dettagli finanziari personali.
Quali altri malware stanno mettendo in pericolo gli utenti Android?
Alcuni degli ultimi esempi di malware dal panorama delle minacce Android includono Spyware Flubot, un malware wormable mascherata come un'app Netflix chiamata FlixOnline, e il trojan bancario Ghimob.
Il banchiere Ghimob, in particolare, sembra essere stato sviluppato dagli stessi criminali informatici che hanno codificato il malware Astaroth per Windows. È interessante notare che gli hacker non hanno utilizzato il Google Play Store ufficiale come canale di distribuzione. A questo scopo, gli hacker hanno distribuito app Android dannose su siti e server precedentemente distribuiti da Astaroth.
Infine, a fine dicembre 2020, i ricercatori di sicurezza hanno segnalato un nuovo piattaforma di offuscamento come servizio per Android, consentendo ai criminali informatici di migliorare i loro meccanismi di evasione dal rilevamento. Per farla breve, si scopre che gli hacker sono riusciti a sviluppare una piattaforma di servizi completamente automatizzata che protegge i kit di pacchetti Android dal malware mobile (APK) dal rilevamento AV. Il servizio è disponibile come pagamento una tantum o come abbonamento mensile ricorrente. È tradotto in inglese e russo, accennando alla sua origine.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: