Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Trojan banker attacca utenti europei di dispositivi Android

16 novembre 2018

I trojan bancari continuano a essere un tipo di programmi malevoli più pericolosi -- con il loro aiuto i malintenzionati rubano informazioni confidenziali e denaro degli utenti. Gli analisti di virus Doctor Web hanno trovato uno di tali trojan nel catalogo Google Play. Attaccava i clienti di una serie di banche europee.

Il trojan, denominato Android.Banker.2876, veniva distribuito sotto l'apparenza delle applicazioni ufficiali di alcune istituzioni creditizie europee: le spagnole Bankia, Banco Bilbao Vizcaya Argentaria (BBVA) e Santander, le francesi Credit Agricole e Groupe Banque Populaire, e inoltre la tedesca Postbank. In totale, i nostri specialisti hanno rilevato 6 varianti di Android.Banker.2876. Tutte sono state prontamente rimosse da Google Play dopo una segnalazione a Google da parte di Doctor Web.

screenshot Android.Banker.2876 #drweb

Dopo che il trojan viene avviato dall'utente, esso chiede l'accesso alla gestione e all'effettuazione di chiamate, nonché all'invio e alla ricezione di messaggi SMS. E sui dispositivi con una versione del sistema operativo Android inferiore alla 6.0 tali permessi vengono concessi in automatico durante l'installazione del programma malevolo. Un esempio di tale richiesta è mostrato nelle immagini di seguito:

screenshot Android.Banker.2876 #drweb screenshot Android.Banker.2876 #drweb

Android.Banker.2876 raccoglie e invia al database cloud Firebase le informazioni confidenziali - il numero di cellulare e i dati della SIM, nonché una serie di informazioni tecniche sul dispositivo mobile - dopodiché notifica i malintenzionati su un'infezione riuscita. Quindi il trojan visualizza una finestra con un messaggio in cui con il pretesto di ulteriore utilizzo del programma viene chiesto alla potenziale vittima di indicare un numero di telefono. Ciascuna variante del banker è destinata a un pubblico specifico. Per esempio, se il trojan imita un'applicazione di una banca spagnola, sono in spagnolo l'interfaccia di Android.Banker.2876 e il testo visualizzato.

screenshot Android.Banker.2876 #drweb

Il numero inserito dalla vittima viene trasmesso al database cloud, e l'utente vede un altro messaggio. In esso si tratta della necessità di attendere la conferma della "registrazione". Qui viene anche visualizzato un pulsante "Submit", dopo un clic su cui viene inaspettatamente avviato un gioco incorporato in Android.Banker.2876.

screenshot Android.Banker.2876 #drweb

screenshot Android.Banker.2876 #drweb

screenshot Android.Banker.2876 #drweb

Se prima il trojan è riuscito a caricare le informazioni circa il dispositivo mobile, nasconde la sua icona dalla schermata principale e in seguito si avvia in modalità celata in automatico all'accensione dello smartphone o tablet infetto.

Android.Banker.2876 intercetta tutti gli SMS in arrivo e salva il loro contenuto in un database locale. Inoltre, il testo dei messaggi viene caricato nel database Firebase e viene duplicato in SMS inviati a un numero di cellulare dei criminali informatici. Come risultato, i malintenzionati possono ottenere le password monouso di conferma di operazioni bancarie e altre informazioni confidenziali che possono essere utilizzate per condurre attacchi di phishing. Oltre a ciò, i numeri di telefono che vengono raccolti dal trojan possono essere utili per gli autori di virus per organizzare varie campagne fraudolente.

Tutte le varianti conosciute di Android.Banker.2876 vengono rilevate e rimosse dai prodotti antivirus Dr.Web per Android e quindi non rappresentano alcun pericolo per i nostri utenti.

Informazioni sul trojan

#Android, #Google_Play, #trojan_banker, #phishing, #frode

Il tuo Android ha bisogno di protezione
Utilizza Dr.Web

Scarica gratis

  • Il primo antivirus russo per Android
  • Oltre 140 milioni di scaricamenti solo da Google Play
  • Gratis per gli utenti dei prodotti Dr.Web per privati.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A