10 giugno 2015

Gli specialisti Doctor Web hanno scoperto un nuovo programma trojan che può rubare soldi dai conti bancari degli utenti dei dispositivi mobili Android. Questo programma malevolo, denominato l'Android.BankBot.65.origin, è incorporato in un'applicazione per online-banking e viene distribuito in Internet come se fosse un software legittimo.

Questo è un metodo comune, ben noto agli specialisti della sicurezza informatica, utilizzato dai malintenzionati per "consegnare" programmi malevoli sui dispositivi mobili Android: le funzioni trojan vengono incorporate in un'applicazione legittima che quindi viene pubblicata su vari siti, quali le raccolte di software e i servizi di scambio di file. Tale metodo aumenta notevolmente la probabilità di installazione dei trojan da parte delle potenziali vittime - loro credono di scaricare sugli smartphone o sui tablet un'applicazione normale con tutte le funzioni del software originale. In realtà gli utenti ricevono, insieme al programma ricercato, un "omaggio" sotto forma di un trojan che funziona impercettibilmente sul dispositivo ed esegue le azioni progettate dai malfattori.

Il trojan scoperto recentemente dagli specialisti Doctor Web, denominato l'Android.BankBot.65.origin, viene distribuito proprio in questo modo dai malfattori che l'hanno incorporato nell'applicazione ufficiale per i servizi mobile della banca russa Sberbank. Gli autori del malware hanno modificato l'applicazione bancaria aggiungendo un'estensione malevola, dopodiché l'hanno pubblicata su un portale web popolare dedicato ai dispositivi mobili. Il principale pericolo in questa situazione è che la versione compromessa mantiene tutte le funzioni originali dell'applicazione ufficiale, quindi gli utenti sconsiderati non sospettano alcunché. Per il momento della pubblicazione di questa notizia, oltre 70 proprietari dei dispositivi Android hanno già scaricato la versione alterata dell'app.

Dopo che l'utente incauto ha installato e avviato il programma, l'Android.BankBot.65.origin crea un file di configurazione in cui sono impostati i principali parametri di funzionamento del trojan. Secondo queste impostazioni, l'app malevola si connette al server di controllo su cui manda tramite una richiesta POST le seguenti informazioni:

• identificatore IMEI del dispositivo;
• nome dell'operatore mobile;
• indirizzo MAC dell'adattatore Bluetooth incorporato;
• informazioni su ciò se è installata o meno l'app del sistema di pagamento QIWI;
• versione dell'API del sistema operativo;
• versione del programma trojan;
• nome del pacchetto del programma trojan;
• comando che viene eseguito al momento.

Se l'Android.BankBot.65.origin riceve il comando "hokkei" dal nodo remoto, invia subito sul server una lista cifrata dei contatti dell'utente, e inoltre su comando dei malintenzionati aggiorna il file di configurazione.

Le funzioni principali di questo programma sono uguali a quelle della maggior parte degli altri trojan-banker. In particolare, l'Android.BankBot.65.origin può eseguire le azioni tipiche di questa categoria del malware – intercettare gli SMS in entrata su comando dal server di controllo e mandare vari messaggi ai numeri telefonici impostati dai malfattori. Inoltre, l'Android.BankBot.65.origin può incorporare gli SMS formati in un apposito modo nella lista dei messaggi in entrata sul dispositivo mobile. I criminali informatici possono utilizzare queste funzioni per rubare soldi da conti bancari degli utenti (inviare comandi via SMS per fare un bonifico bancario a favore degli autori del virus e intercettare i messaggi con i codici di conferma inviati dalla banca), e inoltre per realizzare vari schemi di frode. Così, i malintenzionati possono mettere gli SMS formati in un apposito modo tra i messaggi arrivati sul telefono, per esempio, un avviso del blocco della carta con la richiesta di richiamare la "banca" al numero indicato, una richiesta di ricaricare il telefono di un "parente in guai" ecc.

Gli specialisti Doctor Web consigliano vivamente ai proprietari dei dispositivi Android di scaricare applicazioni per online-banking soltanto da fonti affidabili, quale il catalogo Google Play o i siti web delle banche, e inoltre di utilizzare per la protezione l'Antivirus Dr.Web per Android Light o l'Antivirus Dr.Web per Android. Un record per il rilevamento del trojan Android.BankBot.65.origin è stato aggiunto ai database dei virus Dr.Web, quindi il trojan non rappresenta alcuna minaccia per i nostri utenti.