ThreatFabric: C’è un nuovo Trojan sui dispositivi mobile Android: è MysteryBot e può falsificare più di 100 app bancarie in tutto il mondo
C’è un nuovo Trojan bancario che circola sui dispositivi mobile Android: si chiama MysteryBot ed è stato scoperto dai ricercatori della sicurezza informatica di ThreatFabric. Il malware è basato in parte sul codice del famoso LokiBot, di cui ne condivide il server di comando e controllo (C&C). Gli esperti di cyber security, perciò, ipotizzano che possa essere una sua evoluzione e che gli autori siano gli stessi. La sua pericolosità è data dal fatto che è in grado di falsificare più di 100 applicazioni bancarie, oltre ad alcune app come Facebook, WhatsApp e Viber. Le app bancarie prese di mira da questo trojan provengono da numerosi paesi tra cui Australia, Austria, Germania, Spagna, Francia, Croazia, Polonia e Romania. Sembra che per ora non siano coinvolte le banche italiane, anche se non c’è certezza assoluta.
MysteryBot cattura le credenziali di autenticazione delle app bancarie e, come LokiBot., è anche un ransomware
MysteryBot, mediante la tecnica di overlay, cattura le credenziali di autenticazione delle app bancarie inserite dalle vittime tramite i dispositivi Android. Una volta acquisite, le invia ai server di Comando e Controllo, gestiti dai cyber criminali. Inoltre, il malware intercetta la posizione dei tocchi e delle gesture dell’utente, cercando di indovinare i tasti premuti sulla base della dimensione e della posizione sullo schermo della tastiera virtuale utilizzata. Non si capisce, però, ciò a cosa serva in quanto il Trojan bancario per ora non invia questi dati ai server remoti. Parallelamente al furto di credenziali, peraltro, (come LokiBot), il codice malevolo ha al suo interno anche una funzionalità di ransomware. Tenta di bloccare l’accesso ai file dell’utente, memorizzati nello storage esterno, archiviandoli individualmente in file ZIP protetti con password e cancellando gli originali.
Il Trojan bancario come ransomware, però, ha una serie di falle. Non tutte a vantaggio delle vittime
MysteryBot, almeno come ransomware, però ha una serie di falle che potrebbero permettere il recupero dei dati senza pagare i riscatti. Innanzitutto le password generate dal malware per sbloccare tutti gli archivi è la stessa e viene creata dinamicamente dal Trojan bancario durante l’esecuzione. Inoltre, sono di soli 8 caratteri e includono esclusivamente caratteri latini (maiuscoli e minuscoli) e numeri. Questo potrebbe consentire con relativa facilità di recuperarle, mediante cyber attacchi di brute force. A fronte di ciò, c’è anche un problema che probabilmente i creatori del codice malevolo non avevano previsto. Questo genera un ID univoco della vittima, costituito da un numero tra 0 e 9999, senza verificare precedenti identificativi già memorizzati nel database remoto. Di conseguenza, in caso il codice fosse stato già assegnato, c’è il rischio che anche possedendo la password potrebbe essere impossibile recuperare i file criptati.
Il post integrale di ThreatFabric con la lista delle applicazioni bancarie colpite