Trojan banker: quando il codice d'autenticazione SMS non basta

trojansUn po’ di tempo fa avevamo visto cosa sono gli ad-aware, ovvero quei fastidiosissimi programmi che ci mostrano pubblicità sul nostro computer, come evitarli e come cancellarli dal nostro computer (per vedere l’articolo clicca qui). Oggi, invece, ci occuperemo di trojans perché molti di noi ne hanno sentito parlare ma non tutti hanno ancora capito cosa sono. L’articolo si dividerà in tre sezioni, quindi, una dedicata alla definizione ed al modo in cui questi virus possono rubare i nostri dati; un’altra osserverà da vicino tre diversi tipi di trojan bankers, ovvero Asacub, Acecard e Banloader; per, poi infine, vedere come possiamo proteggerci da questo tipo di malware. Quindi, se siete interessati solamente a come comportarvi per evitare di ritrovarvi dei trojan nel vostro computer o telefonino scrollate pure fino in fondo all’articolo e leggete la sezione “Cosa fare per proteggerci dai trojan”,

COS’È UN TROJAN

Il suo nome completo è trojan horse, ovvero tradotto in italiano “cavallo di troia”, ma viene comunemente chiamato trojan. Questi fa parte della famiglia dei malware ed il suo titolo, inoltre, ci suggerisce subito il suo funzionamento. Tutti bene o male abbiamo sentito parlare, o magari abbiamo visto un film, della storia del cavallo di troia: la base teorica dietro al trojan horse è la stessa, ovvero invitare l’utente a far entrare un cavallo di troia nel proprio computer scaricando, per esempio, degli allegati dalla propria e-mail credendo non vi sia alcun pericolo nascosto al suo interno.

In specifico, il trojan è un codice aggiunto all’interno del linguaggio di programmazione di un software e che si installa assieme ad esso rimanendo nascosto il che significa che, spesso e volentieri, non abbiamo la più pallida idea di averne scaricato uno: si trova, lì, nel nostro computer ma non abbiamo nessun segnale o sintomo della sua presenza. Inoltre, esso non crea repliche di se stesso (altri tipi di virus come i worm, invece, sono in grado di riprodursi).

Nel frattempo, una volta all’interno del nostro pc, questi malware possono portare a termine diversi tipi di azione a seconda, logicamente, della loro programmazione. Possono quindi:

  1. Eliminare dati
  2. Bloccare dati
  3. Modificare dati
  4. Copiare e, quindi, rubare dati
  5. Compromettere le prestazioni del computer

COME FUNZIONANO I TROJAN BANKER

trojan-USVi sono parecchi tipi di trojan dai nomi disparati che vengono classificati in base alle loro capacità ed azioni come vedremo alla fine dell’articolo. Ora, invece, proviamo a dare un’occhiata a come un trojan sia in grado di bypassare le richieste di autenticazione, per esempio, di una banca.

Negli ultimi tempi la maggior parte di banche utilizza l’accesso con autenticazione via SMS che, sicuramente, è più affidabile di una password unica scelta dall’utente o di un codice numerico fisso ma è comunque molto semplice per un hacker recuperare velocemente l’SMS inviato al nostro smartphone grazie proprio ai trojan.

Oramai, sappiamo perfettamente che essendo gli smartphone utilizzati dalla maggior parte della popolazione mondiale, come accade in tutti i sistemi operativi più utilizzati dagli utenti (Mac compreso), sono finiti nel mirino degli hacker. Infatti, dobbiamo ricordare che più persone utilizzano lo stesso sistema più sarà interesse dei malintenzionati creare virus tentando di inserirsi in tale sistema.

Come può allora accadere che un SMS singolo per l’autenticazione venga intercettato da un hacker e questi possa bypassare il sistema bancario?

  1. Un ignaro utente apre l’applicazione ufficiale della banca sul suo telefonino (magari un bell’android dato che è il sistema più utilizzato) ma lo smartphone che possiede, a sua insaputa, ha un trojan al suo interno scaricato da un’e-mail o da un’altra applicazione o da qualche amico che senza saperlo gliel’ha inviato tempo prima.
  2. Questo trojan, intelligentemente, si accorge che l’utente vuole aprire l’applicazione ufficiale della banca cosicché ferma tale applicazione e mostra al malcapitato una pagina falsa ma in tutto e per tutto simile a quella ufficiale.
  3. La vittima, allora, ignara inserisce il proprio nome e la password per accedere all’applicazione che crede essere quella ufficiale che ha sempre utilizzato.
  4. Ed ecco che il trojan recupera le credenziali (nome utente e password), le invia direttamente ai malintenzionati i quali possono tranquillamente, ora, connettersi alla vera versione ufficiale della banca ed ottenere un codice SMS di autenticazione.
  5. Questi ladri, poi, richiedono una transazione di denaro verso il proprio conto in banca. Facendo ciò, per confermare la transazione, un codice d’autenticazione SMS verrà inviato al telefonino della vittima.
  6. Come ottengono questo codice SMS se esso viene inviato in automatico allo smartphone della vittima? Semplice: il trojan lo intercetta, nascondendolo all’utente, così come aveva fatto con l’applicazione della banca, e lo invia nuovamente ai criminali che, ora, potranno indisturbati fare delle transazioni sul proprio conto in banca.
  7. Il malcapitato non si accorgerà di nulla se non controllando la storia delle transazioni avvenute sul proprio conto.

Negli ultimi mesi, per esempio, gli esperti di Kaspersky hanno incontrato ed analizzato tre diversi trojan in grado di fare tutto questo ma ce ne sono molti altri.

I TROJAN BANKERS ASACUB, ACECARD E BANLOADER VISTI DA VICINO

ASACUB, questo trojan inizialmente era un semplice spyware, ovvero recuperava e registrava le abitudini degli utenti raccogliendone informazioni varie. Nello specifico alla sua origine, databile giugno 2015,  era in grado di:

  • get_history: recuperare la storia del browser ed iniviarla ad un server maligno
  • get_contacts: recuperare contatti inviandoli al server suddetto
  • get_listapp: procurarsi la lista delle applicazioni installate
  • block_phone: bloccare il telefonino e spegnerlo
  • send_sms: inviare SMS con un messaggio specifico ad un dato numero

Nel tempo, i comandi descritti qui sopra, e che questo trojan poteva portare a termine, sono drasticamente aumentati fino ad arrivare ad oggi in cui troviamo anche le seguenti potenzialità:

  • get_sms: invia tutti gli SMS ad un server maligno
  • del_sms: cancella degli specifici SMS
  • set_time: sceglie un nuovo intervallo di tempo per contattare il C&C (ovvero il Command and Control server)
  • get_time: upload the time interval for contacting the C&C to the C&C server
  • mute_vol: diminuisce il volume del telefonino rendendolo muto
  • start_alarm: anche se lo schermo si spegne il processore del cellulare continua a funzionare
  • stop_alarm: disabilita lo start_alarm
  • block_phone: spegne lo schermo del cellulare
  • rev_shell: comando remoto che permette all’hacker di eseguire dei comandi sullo smartphone del malcapitato. Questo comando è tipico dei trojan backdoors e normalmente non si trova nei trojan di questo tipo.
  • intercept_start: intercetta tutti gli SMS in arrivo
  • intercept_stop: disabilita l’intercettazione di intercept_start
  • get_cc: crea una schermata falsa per rubare dati bancari
  • change_redir: trasmette le chiamate ad uno specifico numero telefonico
  • send_ussd: inizializza una specifica richiesta USSD che è un protocollo utilizzato da cellulari GSM per comunicare con il server del provider
  • update: scarica ed installa un file da un dato link
  • GPS_track_current: recupera le coordinate dello smartphone o del tablet su cui si trova e le spedisce all’hacker
  • camera_shot: fa foto con la fotocamera del telefonino

Oggi, possiamo quindi vedere dai comandi elencati qui sopra questo malware ha subito un’evoluzione che gli ha permesso di entrare a far parte dei cosiddetti Trojan banker.

ACECARD, questo trojan, risalente al febbraio 2014 ed oggi considerato uno dei più pericolosi, è in grado di falsificare circa trenta diverse tipologie di applicazioni bancarie e metodi di pagamento su android mentre di norma gli altri malware riguardano solamente un paio di banche. Inoltre, questo trojan non si ferma alle semplici applicazioni bancarie ma falsifica anche app come Facebook, Twitter, Instagram, Whatsapp, Viber, Skype, Gmail e persino Paypal

Questo trojan non è scaricabile da allegati e-mail ma piuttosto l’utente lo ottiene credendo di scaricare un programma utile come, per esempio, Adobe Flash Player (che attualmente non ha versioni ufficiali su Android).

BANLOADER, è un malware brasiliano cross-platform, ovvero può essere utilizzato su diverse piattaforme quali Windows, Linux, OS X ma anche, in alcune circostanze, sugli smartphone poiché usufruisce di componenti in JAR (ovvero, un pacchetto di file archivio Java che è associato a metadati quali file, immagini, etc.) che possono essere aperti in e da qualsiasi computer. Ciò significa che tutti i sistemi sono a rischio. Banloader si basa, per prima cosa, sul social engineering venendo inviato, per esempio, come allegato e-mail oppure vengono direttamente inviati dei file JAR all’interno di archivi cosicché l’utente si ritroverà il trojan nel proprio pc anche senza aver scaricato nulla: tutto comunque si basa sulla scelta del malcapitato di cliccare qualcosa! Da quel momento in poi il malware è pronto per impossessarsi dei suoi dati. 

COSA FARE PER PROTEGGERCI DAI TROJAN

Trojan-JSBanker.BA_-300x264Ed eccoci finalmente all’ultima sezione che interesserà sicuramente e soprattutto coloro che non sapevano ancora cos’era un trojan.

Premettiamo e ricordiamo una cosa già ribadita precedentemente ovvero nessun sistema è salvo e tutti sono a rischio: che voi abbiate Windows, Mac OS X, Linux, Android, iOS o Vattelapesca ad alcuni trojan, come per esempio Banloader, non interessa un bel niente perché tanto possono comunque inserirsi nel vostro computer/smartphone.

 
Detto questo vediamo come proteggerci e tutelarci da questi malware:

  1. Scegliamo un buon antivirus non solo sul nostro computer ma anche sul nostro smartphone. Anche se il pc non è collegato ad internet utilizziamo comunque l’antivirus perché, se non attraverso il web, i virus possono essere installati lo stesso per errore per esempio a causa di una penna USB di un nostro amico. Su questo articolo potete trovare alcune dritte sui migliori antivirus gratuiti e su quali piattaforme supportano. Inoltre, vi consiglio di utilizzare, assieme all’antivirus, anche Malwarebytes che non crea alcun conflitto con altri software.
  2. Manteniamo aggiornato il nostro antivirus programmando periodicamente uno scan del computer, tablet e/o smartphone.
  3. Facciamo estrema attenzione alle applicazioni che scarichiamo cercando di essere sicuri della sua provenienza: come già notato, per esempio, il trojan Acecard può installarsi, ma non solo, attraverso un’applicazione di Adobe Flash Player di cui non esiste alcuna versione ufficiale!
  4. Non scarichiamo applicazioni da negozi non ufficiali né applicazioni che ci danno qualche dubbio.
  5. Non clicchiamo su link o allegati ricevuti da qualche strana e-mail. Qui, potete dare un’occhiata ad un esempio di un’e-mail ricevuta da un mittente che fingeva di essere Amazon.

 
RIFERIMENTI:

A. Drozhzhin, How banking trojans bypass two-factor authentication, Kasperky blog, 11.03.2016
Kasperky internet security centre, Cos’è un trojan
AVG, What is a trojan malware
D. Bestuzhev, First step in cross-platform Trojan bankers from Brazil done
Secure List, 03.03.2016
R. Unuchek, The Asacub trojan: from spyware to banking malware, Secure List, 20.01.2016
J. Snow, The evolution of Asacub trojan: from small fish to ultimate weapon, Kasperky blog, 20.01.2016
J. Snow, Android trump card: Acecard, Kaspersky blog, 22.02.2016

 
 
 

Share the love

Comincia la discussione

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.