Nuovo trojan bancario scoperto su Android prende di mira gli utenti in Italia e Spagna

Nuovo trojan bancario scoperto su Android prende di mira gli utenti in Italia e Spagna
di

Ricordate il malware Mailbot per Android? Ebbene, i ricercatori di F5 Labs hanno scoperto un nuovo ceppo del trojan bancario che starebbe prendendo di mira gli utenti dei servizi bancari in Spagna ed Italia.

Il “nuovo Mailbot”, se così si può definire, proprio come le altre controparti è in grado di rubare le credenziali ed i cookie, ma anche aggirare i sistemi di autenticazione a due fattori e può abusare del servizio di accessibilità di Android per monitorare costantemente lo schermo dei dispositivi.

MailBot è in grado di trasformarsi in un’app di mining per le criptovalute come Mining X o The CryptoApp, che vengono distribuite tramiti siti web fraudolenti e traggono in inganno gli utenti meno esperti. Questa nuova versione può utilizzare lo smishing per diffondersi tramite i contatti degli smartphone infetti, inviando SMS contenenti link al malware. I ricercatori osservano che “si tratta di una rielaborazione pesantemente modificata del malware SOVA, con diverse funzionalità, target, server C2, domini e schemi di compressione”, ed utilizza gli stessi server sfruttati in precedenza per distribuire Sality.

Le banche prese di mira da MailBot includono UniCredit, Santander, CaixaBank e CartaBCC.

Non si tratta della prima volta che i servizi di accessibilità di Android vengono sfruttati da spyware e trojan per ottenere l’accesso ai contenuti del dispositivo ed intercettare le credenziali immesse nelle app dagli utenti. Tuttavia, questo nuovo malware può sottrarre anche le password ed i cookie del’account Google, ma è anche in grado di intercettare i codici 2FA di Google Authenticator per poi estrarre informazioni sensibili da app come Binance.

La versatilità del malware e il controllo che offre agli aggressori sul dispositivo significano che, in linea di principio, potrebbe essere utilizzato per una gamma più ampia di attacchi rispetto al furto di credenziali e criptovaluta” spiegano i ricercatori, secondo cui MailBot può sfruttare l’accesso alle API di accessibilità per aggirare ‘autenticazione a due fattori.

La notizia arriva a poche ore dal ritorno del malware Joker su Android, di cui abbiamo parlato su queste pagine.

Quanto è interessante?
2
Nuovo trojan bancario scoperto su Android prende di mira gli utenti in Italia e Spagna