Domenico Ascione
Un malware che ruba i dati dalle app bancarie e li usa per svuotare i conti dei malcapitati: attacchi anche nel nostro Paese
I nostri risparmi sono al sicuro sul web? Ormai tutti utilizziamo app bancarie per gestire le nostre finanze e controllare i nostri movimenti. Eppure, così facendo, siamo soggetti a minacce sempre più numerose e pericolose.
L’esempio è un nuovo virus che sta attaccando numerosi utenti anche in Italia.
Godfather
Un malware bancario Android denominato “Godfather” ha preso di mira gli utenti di 16 Paesi, tra cui anche l’Italia, tentando di rubare le credenziali dei conti di oltre 400 siti bancari online e di scambio di criptovalute.
Il malware genera schermate di login sovrapposte ai moduli di accesso delle app bancarie e di scambio di criptovalute quando le vittime tentano di accedere al sito, inducendo l’utente a inserire le proprie credenziali in pagine di phishing HTML ben realizzate.
La scoperta
Il trojan Godfather è stato scoperto dagli analisti di Group-IB, che ritengono sia il successore di Anubis, un trojan bancario un tempo molto diffuso che è gradualmente caduto in disuso a causa della sua incapacità di aggirare le nuove difese di Android.
ThreatFabric ha scoperto Godfather per la prima volta nel marzo 2021, ma da allora ha subito massicci aggiornamenti e miglioramenti del codice.
Inoltre, Cyble ha pubblicato ieri un rapporto che evidenzia un aumento dell’attività di Godfather, spingendo un’app che imita uno strumento musicale popolare in Turchia, scaricata 10 milioni di volte tramite Google Play.
Group-IB ha riscontrato una distribuzione limitata del malware nelle app del Google Play Store; tuttavia, i principali canali di distribuzione non sono stati scoperti, quindi il metodo di infezione iniziale è in gran parte sconosciuto.
Quasi la metà delle app prese di mira da Godfather, 215, sono applicazioni bancarie e la maggior parte di esse si trova negli Stati Uniti (49), in Turchia (31), Spagna (30), Canada (22), Francia (20), Germania (19) e Regno Unito (17). 12, per ora, le app a rischio in Italia.
Oltre alle app bancarie, Godfather prende di mira 110 piattaforme di scambio di criptovalute e 94 app di portafogli di criptovalute.
È interessante notare che il trojan è configurato per controllare la lingua del sistema e se è impostata su russo, azero, armeno, bielorusso, kazako, kirghizo, moldavo, uzbeko o tagico, interrompe il suo funzionamento.
Questa è una forte indicazione che gli autori del Godfather siano di lingua russa, probabilmente residenti nella regione della CSI (Comunità degli Stati Indipendenti).
Cosa si rischia
Una volta installato sul dispositivo, Godfather imita “Google Protect”, uno strumento di sicurezza standard presente su tutti i dispositivi Android. Il malware arriva persino a emulare un’azione di scansione sul dispositivo.
L’obiettivo di questa scansione è richiedere l’accesso al Servizio Accessibilità da quello che sembra essere uno strumento legittimo. Una volta che la vittima approva la richiesta, il malware può concedersi tutte le autorizzazioni necessarie per eseguire comportamenti dannosi.
Ciò include l’accesso ai testi e alle notifiche SMS, alla registrazione dello schermo, ai contatti, all’esecuzione di chiamate, alla scrittura su memoria esterna e alla lettura dello stato del dispositivo.
Inoltre, il Servizio di accessibilità viene abusato per impedire all’utente di rimuovere il trojan, esfiltrare gli OTP (one-time password) di Google Authenticator, elaborare i comandi e rubare il contenuto dei campi PIN e password.
Godfather si infiltra in un elenco di applicazioni installate per ricevere iniezioni di corrispondenza (moduli di login HTML falsi per rubare le credenziali) dal server C2.
Il malware può anche generare notifiche false dalle applicazioni installate sul dispositivo della vittima per portarla a una pagina di phishing, in modo da non dover attendere l’apertura dell’applicazione bersaglio.
Insomma, il malware è in grado di prendere totalmente il controllo del dispositivo e di tutti i dati al suo interno. Come un vero e proprio Padrino può inviare comandi al telefono e fargli fare qualunque cosa, persino svuotare il proprio conto in banca.