18 settembre 2015

L'utilizzo dei programmi malevoli capaci di inviare messaggi sms a numeri costosi senza la conoscenza degli utenti degli smartphone e tablet Android è a lungo uno dei principali modi per guadagnare, impiegati da molti criminali informatici. Con l'aumento della popolarità di remote banking, i truffatori impiegano sempre più frequentemente trojan più progrediti. In particolare, a tali trojan appartengono le applicazioni malevole multifunzionali della famiglia Android.SmsBot, alcune di cui sono capaci di rubare denaro da conti bancari. Questo articolo è dedicato a uno di tali trojan, scoperto dagli specialisti Doctor Web.

Come molti altri programmi malevoli simili, il nuovo trojan, denominato l'Android.SmsBot.459.origin, viene distribuito dai malintenzionati attraverso l'invio degli sms di spam. In particolare, la potenziale vittima riceve un messaggio fraudolento presumibilmente da un acquirente interessato che avrebbe risposto a un annuncio di vendita pubblicato dalla vittima, e questo messaggio contiene un invito a visitare qualche sito web per avere maggiori informazioni. È interessante che in alcuni casi i criminali informatici, per essere più convincenti, chiamino l'utente per nome, cioè l'attacco è uno mirato ed è stato pianificato bene e in esso si impiega un database specifico degli annunci che effettivamente esistono. L'intento dei truffatori è semplice: se di recente il proprietario del dispositivo mobile ha effettivamente provato a vendere qualcosa attraverso Internet, con un'elevata probabilità crederà che sia stato fortunato a trovare un acquirente e senza alcun dubbio utilizzerà il link malevolo indicato nel messaggio. In questo caso, sul dispositivo mobile verrà scaricato automaticamente il file apk del trojan, però affinché l'Android.SmsBot.459.origin cominci a funzionare, è necessario comunque che l'utente esegua la sua installazione. Se l'utente cercherà di aprire il link su un dispositivo sotto un'altra piattaforma mobile o sul pc, invece di uno smartphone o tablet Android, verrà reindirizzato su una risorsa innocua, anziché su un sito da cui si scarica il trojan Android.

L'Android.SmsBot.459.origin si installa nel sistema con il pretesto di un client di un servizio di pubblicazione di annunci, popolare in Russia, e dispone di un'icona corrispondente, "presa in prestito" dai malintenzionati alla vera applicazione degli annunci. Con questo modo i malintenzionati cercano di convincere completamente la vittima che si trovi di fronte all'autentico servizio degli annunci e che non abbia nulla da temere. Subito dopo l'avvio, il trojan cerca di ottenere l'accesso alle funzioni dell'amministratore del dispositivo mobile in modo da ostacolare i successivi tentativi di eliminazione. È interessante che il programma malevolo effettivamente costringa l'utente a fornire i permessi necessari visto che ostacola l'uso normale dello smartphone o tablet Android bloccando lo schermo con la visualizzazione della relativa richiesta.

L'Android.SmsBot.459.origin trasmette sul server di controllo le informazioni sul dispositivo infetto, tra cui l'identificatore IMEI, le informazioni sull'operatore e sulla versione del sistema operativo in uso. Subito dopo il trojan riceve un comando di controllare se al numero di cellulare della vittima è connesso un sevizio di mobile banking di alcune banche e anche cerca di venir a sapere il credito dell'account di telefonia e dell'account di uno dei sistemi di pagamenti elettronici, popolari in Russia. Con questo scopo, l'Android.SmsBot.459.origin manda sms formati appositamente per ciascuno di questi servizi e nasconde all'utente tutti i messaggi di risposta i quali inoltra su un nodo remoto. Dobbiamo notare che nel SO Android versione 4.4 e superiori, grazie all'introduzione di ulteriori misure di sicurezza, il trojan non può nascondere gli sms all'utente, per questa ragione l'app malevola disattiva temporaneamente tutti gli avvisi sonori del sistema, inclusa la vibrazione che segnala una chiamata, ed elimina la corrispondenza pervenuta.

L'Android.SmsBot.459.origin può ottenere dai malintenzionati i seguenti comandi:

• esms&&& - manda sul server un elenco di tutti i messaggi SMS;
• getapps&&& - manda sul server un elenco di tutte le applicazioni installate;
• sent&&& - manda un messaggio SMS con un testo predefinito a un numero indicato;
• rent&&& - attiva l'intercettazione dei messaggi SMS;
• sms_stop&&& - ferma l'intercettazione dei messaggi SMS;
• ussd&&& - esegui un codice USSD;
• export&&& - manda sul server un elenco dei contatti;
• u&&& - imposta l'indirizzo di un nuovo server di controllo;
• sapp&&& - manda un messaggio a un numero indicato attraverso l'applicazione Viber.

Dunque, se è disponibile un credito su un account o conto dell'utente, i criminali informatici possono rubare i soldi di nascosto impartendo all'applicazione malevola una relativa direttiva. E la vittima dell'attacco potrebbe a lungo rimanere all'oscuro dell'avvenuto furto perché il trojan blocca tutti gli SMS con codici di conferma e le notifiche di operazioni con denaro.

Gli specialisti Doctor Web consigliano vivamente ai proprietari dei dispositivi mobili SO Android di evitare di utilizzare link inclusi in sms che suscitano sospetto e applicazioni provenienti da fonti non attendibili. I prodotti antivirus Dr.Web per Android rilevano l'Android.SmsBot.459.origin che quindi non rappresenta minaccia ai nostri utenti.