Trojan bancari su Android, nel 2023 10 nuove famiglie che prendono di mira oltre 900 app. Sempre più diffusi e con nuove funzionalità, i trojan bancari sono una minaccia concreta e pericolosa per gli utenti di smartphone.
La società di sicurezza Zimperium ha condotto un’analisi focalizzata sui trojan bancari per Android, individuando 10 nuove famiglie di malware nel 2023 che hanno presto di mira nel complesso 985 app bancarie e di istituti finanziari e fintech di 61 Paesi.
I trojan bancari, lo ricordiamo, sono malware che mettono nel mirino i conti bancari online degli utenti, intercettando credenziali di accesso e cookie di sessione, aggirando le protezioni 2FA con l’obiettivo di effettuare transazioni e sottrarre denaro alle vittime.
Zimperium ha inoltre evidenziato che oltre alle 10 nuove famiglie, ve ne sono altre 19 risalenti allo scorso anno che sono state modificate con l’aggiunta di nuove capacità e maggior sofisticazione operativa. In generale Zimperium ha individuato una serie di tendenze particolarmente preoccupanti.
Si parte dalla presenza diffusa di sistemi di trasferimento automatico capaci di intercettare token MFA ed avviare transazioni e trasferimenti di fondi, per passare alle pratiche di ingegneria sociale dove i criminali informatici si fingono operatori dell’assistenza clienti dell’istituto bancario convincendo le vittime a scaricare le applicazioni contraffatte.
Un’altra tendenza è la presenza di funzionalità di condivisione dello schermo “live” così che gli attori di minaccia possano interagire da remoto direttamente con il dispositivo compromesso. E’ stato inoltre individuato un filo conduttore comune per quanto riguarda le funzionalità di base di questi trojan, che includono capacità di keylogging, sovrapposizione di pagine di phishing e furto di messaggi SMS.
L’aspetto più preoccupante però è l’espansione degli obiettivi potenziali delle attività dei trojan, che vanno oltre il furto delle credenziali bancarie e si estendono anche alle informazioni presenti sui profili social, nei messaggi e nei dati personali, configurandosi quindi come strumenti capaci di effettuare furti di identità a tutto tondo.
Infine, in generale, questi trojan vengono offerti anche come servizio ad abbonamento ad altri criminali informatici, con un costo che varia dai 3000 ai 7000 dollari al mese. Con un costo di tale livello è facile immaginare quale possa essere l’entità del bottino a cui un criminale punta utilizzando questi strumenti.
Le nuove 10 famiglie di trojan bancari, con un totale di 2100 varianti in circolazione, si camuffano da app di produttività, utility, portali di intrattenimento, giochi, strumenti di fotografia e supporti didattici. Zimperium le ha analizzate, stilando un elenco:
Nexus: è un MaaS (malware-as-a-service) con 498 varianti con funzionalità di condivisione dello schermo dal vivo, prendendo di mira 39 app in 9 Paesi- Godfather: MaaS con 1.171 varianti note che prendono di mira 237 app bancarie in 57 Paesi. Anche questo trojan supporta la condivisione dello schermo da remoto
- Pixpirate: Trojan con 123 varianti note alimentato da un modulo per il trasferimento automatico di fondi. Prende di mira dieci app bancarie
- Saderat: Trojan con 300 varianti che prendono di mira otto app bancarie in 23 Paesi
- Hook: MaaS con 14 varianti note, ancora con condivisione live dello schermo. Prende di mira 468 app in 43 Paesi ed è affittato a criminali informatici per 7000 dollari al mese
- PixBankBot: Trojan con tre varianti note che colpiscono quattro app bancarie. Viene fornito con un modulo per il trasferimento automatico di fondi per le frodi on-device
- Xenomorph v3: operazione MaaS con sei varianti in grado di effettuare trasferimento automatico di fondi, prendendo di mira 83 app bancarie in 14 Paesi
- Vultur: Trojan con nove varianti che colpiscono 122 app bancarie in 15 Paesi
- BrasDex: Trojan che prende di mira otto app bancarie in Brasile
- GoatRat: Trojan con 52 varianti note potenziate da un modulo per il trasferimento automatico di fondi, che prende di mira sei app bancarie
Teabot, Exobot, Mysterybot, Medusa, Cabossous, Anubis e Coper sono invece alcune delle famiglie di malware già conosciute nel 2022 e che quest’anno sono state aggiornate e ancora protagoniste di un’attività rilevante.
La divisione geografica è piuttosto variegata, e vede al primo posto gli Stati Uniti con ben 109 app bancarie prese di mira, staccando notevolmente il Regno Unito che con 48 app bancarie prese di mira si guadagna la medaglia d’oro. Il gradino più basso del podio è invece per l’Italia dove le app bancarie finite nel mirino dei trojan sono 44 e a seguire Australia, Turchia, Francia, Spagna, Portogallo, Germania e Canada.
La protezione da questo genere di minacce passa per la prevenzione: anzitutto evitare di scaricare app al di fuori di Google Play Store e, anche all’interno di esso, verificare sempre le recensioni degli utenti e controllare l’autorevolezza, la credibilità e l’affidabilità dello sviluppatore dell’app. E’ inoltre buona pratica prestare attenzione durante l’installazione alla richiesta di autorizzazioni e all’accesso ai “Servizi di accessibilità”.
Inoltre l’eventuale richiesta di scaricare un aggiornamento da una fonte esterna al Play Store non appena terminata l’installazione è del tutto inusuale e va considerata con la massima attenzione, tendenzialmente evitando di proseguire oltre. Infine diffidare da qualsiasi messaggio o comunicazione che pare provenire dalla nostra banca (controllate sempre l’indirizzo email e il numero di telefono) nella quale è presente un link, meno che meno se il messaggio proviene da mittenti sconosciuti.
Lascia un commento