Malware BankBot in 424 app Android, a rischio carte di credito e account bancari
Alcune applicazioni apparentemente innocue di Google Play Store contengono una variante di un trojan bancario conosciuto come BankBot. Ad averla individuata è la società di sicurezza Securify, con il ricercatore Niels Croese che l’ha riportata sul blog ufficiale della società. La stessa campagna di infezione è stata trovata su applicazioni come Funny Videos 2017, scaricata oltre 5000 volte, e HappyTime Videos, con il trojan che punta a colpire 424 app bancarie.
Come si evince dal nome infatti BankBot è un trojan che ha l’obiettivo di recuperare credenziali sensibili dalle app installate sul dispositivo e in esecuzione, prediligendo quelle di tipo bancario. È una variante di un trojan attivo in passato, il cui codice è stato pubblicato nello scorso mese di gennaio. Modificato ad-hoc, il codice appartenente al precedente trojan è stato sfruttato in nuove campagne di infezione all’interno delle due app sopra menzionate.
Installato sul dispositivo, BankBot rimane in memoria in attesa dell’esecuzione di un’app da sfruttare. Riconosciuta l’app, che può essere di tipo finanziario ma anche un’app popolare come YouTube, WhatsApp, Facebook, Instagram o Twitter, il malware mostra una finestra di log-in fraudolenta sulla parte alta della schermata, spingendo l’utente a scrivere le proprie credenziali d’accesso nei campi di testo forniti. Ma inserendole si offrono ovviamente i dati ai criminali.
BankBot sfrutta probabilmente un keylogger per ricevere queste informazioni, e in questo modo può aggirare anche le verifiche a due passaggi qualora previste dal servizio in uso. Secondo Securify sono 424 le applicazioni bancarie colpite dalla nuova versione di BankBot, fra cui 25 applicazioni appartenenti a banche italiane (fonte: CERT-PA). Gli utenti colpiti dal malware devono disinstallare le app coinvolte e cambiare le credenziali d’accesso sui servizi utilizzati.
Securify fa sapere inoltre che le app coinvolte sono state eliminate dallo store, con Google che ha in effetti verificato i tentativi di phishing legati al furto dei dettagli delle carte di credito e le credenziali per l’accesso ai servizi bancari. (fonte)
