CODEXSPRAWL

sulle tracce della periferia cibernetica

Trojan banker: quando il codice d’autenticazione SMS non basta

trojansUn po’ di tempo fa avevamo visto cosa sono gli ad-aware, ovvero quei fastidiosissimiย programmi che ci mostrano pubblicitร  sul nostro computer, come evitarli e come cancellarli dal nostro computer (per vedere l’articolo clicca qui). Oggi, invece, ci occuperemo di trojans perchรฉ molti di noi ne hanno sentito parlare ma non tutti hanno ancora capito cosa sono. L’articolo si dividerร  in tre sezioni, quindi, una dedicata alla definizione ed al modo in cui questi virus possono rubare i nostri dati; un’altra osserverร  da vicino tre diversi tipi diย trojan bankers, ovvero Asacub, Acecard e Banloader; per, poi infine, vedere come possiamo proteggerci da questo tipo di malware. Quindi, se siete interessati solamente a come comportarvi per evitare di ritrovarvi dei trojan nel vostro computer o telefonino scrollate pure fino in fondo all’articolo e leggete la sezione “Cosa fare per proteggerci dai trojan”,

COS’รˆ UN TROJAN

Il suo nome completo รจย trojan horse,ย ovvero tradotto in italiano “cavallo di troia”, ma viene comunemente chiamato trojan. Questi fa parte della famiglia deiย malware ed ilย suo titolo, inoltre, ci suggerisce subito il suo funzionamento.ย Tutti bene o male abbiamo sentito parlare, o magari abbiamo visto un film, della storia del cavallo di troia: la base teorica dietro al trojan horse รจ la stessa, ovvero invitare l’utente a far entrare un cavallo di troia nel proprio computer scaricando, per esempio, degli allegati dalla propria e-mail credendo non vi sia alcun pericolo nascosto al suo interno.

In specifico, il trojan รจ un codiceย aggiuntoย all’interno del linguaggioย di programmazione di un software e che si installa assieme ad esso rimanendo nascosto il che significa che, spesso e volentieri, non abbiamo la piรน pallida idea di averne scaricato uno: si trova, lรฌ, nel nostro computer ma non abbiamo nessun segnale o sintomo della sua presenza. Inoltre, esso non crea repliche di se stesso (altri tipi di virus come i worm, invece, sono in grado di riprodursi).

Nel frattempo, una volta all’interno del nostro pc, questi malware possono portare a termine diversi tipi di azione a seconda, logicamente, della loro programmazione. Possono quindi:

  1. Eliminare dati
  2. Bloccare dati
  3. Modificare dati
  4. Copiare e, quindi, rubare dati
  5. Compromettere le prestazioni del computer

COME FUNZIONANO I TROJAN BANKER

trojan-USVi sono parecchi tipi di trojan dai nomi disparati che vengono classificati in base alle loro capacitร  ed azioni come vedremo alla fine dell’articolo. Ora, invece, proviamo a dare un’occhiata a come un trojan sia in grado di bypassare le richieste di autenticazione, per esempio, di una banca.

Negli ultimi tempi la maggior parte di banche utilizza l’accesso con autenticazione via SMS che, sicuramente, รจ piรน affidabile di una password unica scelta dall’utente o di un codice numerico fisso ma รจ comunque molto semplice per un hacker recuperare velocemente l’SMS inviato al nostro smartphone grazie proprio ai trojan.

Oramai, sappiamo perfettamente che essendo gli smartphone utilizzati dalla maggior parte della popolazione mondiale, come accade inย tutti i sistemi operativi piรน utilizzati dagli utenti (Mac compreso), sono finiti nel mirino degli hacker. Infatti, dobbiamo ricordare che piรน persone utilizzano lo stesso sistema piรน sarร  interesse dei malintenzionati creare virus tentando di inserirsi in tale sistema.

Come puรฒ allora accadere che un SMS singolo per l’autenticazione venga intercettato da un hacker e questi possa bypassare il sistema bancario?

  1. Un ignaro utente apre l’applicazione ufficiale della banca sul suo telefonino (magari un bell’android dato che รจ il sistema piรน utilizzato) ma lo smartphone che possiede, a sua insaputa, ha un trojan al suo interno scaricato da un’e-mail o da un’altra applicazione o da qualche amico che senza saperlo gliel’ha inviato tempo prima.
  2. Questo trojan, intelligentemente, si accorge che l’utente vuole aprire l’applicazione ufficiale della banca cosicchรฉ ferma tale applicazione e mostra al malcapitato una pagina falsa ma in tutto e per tutto simile a quella ufficiale.
  3. La vittima, allora, ignara inserisce il proprio nome e la password per accedere all’applicazione che crede essere quella ufficiale che ha sempre utilizzato.
  4. Ed ecco che il trojan recupera le credenziali (nome utente e password), le invia direttamente ai malintenzionati i quali possono tranquillamente, ora, connettersi alla vera versione ufficiale della banca ed ottenere un codice SMS di autenticazione.
  5. Questi ladri, poi, richiedono una transazione di denaro verso il proprio conto in banca. Facendo ciรฒ, per confermare la transazione, un codice d’autenticazione SMS verrร  inviato al telefonino della vittima.
  6. Come ottengono questo codice SMS se esso viene inviato in automatico allo smartphone della vittima? Semplice: il trojan lo intercetta, nascondendolo all’utente, cosรฌ come aveva fatto con l’applicazione della banca, e lo invia nuovamente ai criminali che, ora, potranno indisturbati fare delle transazioni sul proprio conto in banca.
  7. Il malcapitato non si accorgerร  di nulla se non controllando la storia delle transazioni avvenute sul proprio conto.

Negli ultimi mesi, per esempio, gli esperti di Kaspersky hanno incontrato ed analizzato tre diversi trojan in grado di fare tutto questo ma ce ne sono molti altri.

I TROJAN BANKERS ASACUB, ACECARD E BANLOADER VISTI DA VICINO

ASACUB, questo trojan inizialmente era un semplice spyware, ovvero recuperava e registrava le abitudini degli utenti raccogliendone informazioni varie. Nello specifico alla sua origine, databile giugno 2015, ย era in grado di:

  • get_history: recuperare la storia del browser ed iniviarla ad un server maligno
  • get_contacts: recuperare contatti inviandoli al server suddetto
  • get_listapp: procurarsi la lista delle applicazioni installate
  • block_phone: bloccare il telefoninoย e spegnerlo
  • send_sms: inviare SMS con un messaggio specifico ad un dato numero

Nel tempo, i comandi descritti qui sopra,ย e che questo trojanย poteva portare a termine, sono drasticamente aumentati fino ad arrivare ad oggi in cui troviamo anche le seguenti potenzialitร :

  • get_sms: invia tutti gli SMS ad un server maligno
  • del_sms:ย cancella degli specifici SMS
  • set_time: sceglie unย nuovo intervallo di tempo per contattare il C&C (ovvero il Command and Control server)
  • get_time: upload the time interval for contacting the C&C to the C&C server
  • mute_vol: diminuisce il volume del telefonino rendendolo muto
  • start_alarm: anche se lo schermo si spegne il processore del cellulare continua a funzionare
  • stop_alarm: disabilita lo start_alarm
  • block_phone: spegne lo schermo del cellulare
  • rev_shell: comando remoto che permette all’hacker di eseguire dei comandi sullo smartphone del malcapitato. Questo comando รจ tipico dei trojan backdoors e normalmente non si trova nei trojan di questo tipo.
  • intercept_start: intercetta tutti gli SMS in arrivo
  • intercept_stop: disabilita l’intercettazione di intercept_start
  • get_cc: crea una schermata falsa per rubare dati bancari
  • change_redir: trasmette le chiamate ad uno specifico numero telefonico
  • send_ussd: inizializza una specifica richiesta USSD che รจ un protocollo utilizzato da cellulari GSM per comunicare con il server del provider
  • update: scarica ed installa un file da un dato link
  • GPS_track_current: recupera le coordinate dello smartphone o del tablet su cui si trova e le spedisce all’hacker
  • camera_shot: fa foto con la fotocamera del telefonino

Oggi,ย possiamo quindi vedere dai comandi elencati qui sopraย questo malware ha subito un’evoluzioneย che gli ha permesso di entrare a far parte dei cosiddettiย Trojan banker.

ACECARD, questo trojan, risalente al febbraio 2014 ed oggi considerato uno dei piรน pericolosi, รจ in grado di falsificare circa trenta diverse tipologie di applicazioni bancarie e metodi di pagamento su android mentre di norma gli altri malware riguardano solamente un paio di banche. Inoltre, questo trojan non si ferma alle semplici applicazioni bancarie ma falsifica anche app come Facebook, Twitter,ย Instagram, Whatsapp, Viber, Skype, Gmail e persino Paypal!ย 

Questo trojan non รจ scaricabile da allegati e-mail ma piuttosto l’utente lo ottiene credendo di scaricare un programma utile come, per esempio, Adobe Flash Player (che attualmente non ha versioni ufficiali su Android).

BANLOADER, รจ un malware brasiliano cross-platform, ovvero puรฒ essere utilizzato su diverse piattaforme quali Windows, Linux, OS X ma anche, in alcune circostanze, sugli smartphone poichรฉ usufruisce di componenti in JAR (ovvero, un pacchetto di file archivio Java che รจ associato a metadati quali file, immagini, etc.) che possono essere aperti in e da qualsiasi computer.ย Ciรฒ significa che tutti i sistemi sono a rischio. Banloader si basa, per prima cosa, sul social engineering venendo inviato, per esempio, come allegato e-mail oppure vengono direttamente inviati dei file JAR all’interno di archiviย cosicchรฉ l’utente si ritroverร  il trojan nel proprio pc anche senza aver scaricato nulla: tutto comunque si basa sulla scelta del malcapitato di cliccare qualcosa! Da quel momento in poi il malware รจ pronto per impossessarsi dei suoi dati.ย 

COSA FARE PER PROTEGGERCI DAI TROJAN

Trojan-JSBanker.BA_-300x264Ed eccoci finalmente all’ultima sezione che interesserร  sicuramente e soprattutto coloro che non sapevano ancora cos’era un trojan.

Premettiamo e ricordiamo una cosa giร  ribadita precedentemente ovvero nessun sistema รจ salvo e tutti sono a rischio: che voi abbiate Windows, Mac OS X, Linux, Android, iOS o Vattelapesca ad alcuni trojan, come per esempio Banloader, non interessa un bel niente perchรฉ tanto possono comunque inserirsi nel vostro computer/smartphone.

 

Detto questo vediamo come proteggerci e tutelarci da questi malware:

  1. Scegliamoย un buon antivirus non solo sul nostro computer ma anche sul nostro smartphone. Anche se il pc non รจ collegato ad internet utilizziamo comunque l’antivirus perchรฉ, se non attraverso il web, i virus possono essere installati lo stesso per errore per esempio a causa diย una penna USB di un nostro amico. Su questo articoloย potete trovare alcune dritte sui migliori antivirus gratuiti e su quali piattaforme supportano. Inoltre, vi consiglio di utilizzare, assieme all’antivirus, ancheย Malwarebytesย che non crea alcun conflitto con altri software.
  2. Manteniamo aggiornatoย il nostro antivirusย programmando periodicamente uno scan del computer, tablet e/o smartphone.
  3. Facciamo estrema attenzione alle applicazioni che scarichiamo cercando di essere sicuri della sua provenienza: come giร  notato, per esempio, il trojan Acecard puรฒ installarsi, ma non solo,ย attraverso un’applicazione di Adobe Flash Player di cui non esiste alcuna versione ufficiale!
  4. Non scarichiamo applicazioni da negozi non ufficiali nรฉ applicazioni che ci danno qualche dubbio.
  5. Non clicchiamo su link o allegati ricevutiย da qualche strana e-mail.ย Qui, potete dare un’occhiata ad un esempio di un’e-mail ricevuta da un mittente che fingeva di essere Amazon.

 

RIFERIMENTI:

A.ย Drozhzhin,ย How banking trojans bypass two-factor authentication, Kasperky blog, 11.03.2016
Kasperky internet security centre,ย Cos’รจ un trojan
AVG,ย What is a trojan malware
D.ย Bestuzhev,ย First step in cross-platform Trojan bankers from Brazil done,ย Secure List, 03.03.2016
R. Unuchek,ย The Asacub trojan: from spyware to banking malware, Secure List, 20.01.2016
J. Snow,ย The evolution of Asacub trojan: from small fish to ultimate weapon, Kasperky blog,ย 20.01.2016
J. Snow,ย Android trump card:ย Acecard, Kaspersky blog, 22.02.2016

ย 

 

 

Scopri di piรน da CODEXSPRAWL

Abbonati per ricevere gli ultimi articoli inviati alla tua e-mail.

Lascia un commento

Il tuo indirizzo email non sarร  pubblicato. I campi obbligatori sono contrassegnati *