Arriva il trojan delle app bancarie su Android a Milano: come difendersi da DroidBot

DroidBot, un malware bancario di tipo trojan progettato per colpire dispositivi Android, sta destando preoccupazione tra gli esperti di sicurezza informatica. Scoperto recentemente da Cleafy, questo software dannoso ha già messo nel mirino utenti in Italia, Francia, Spagna e altri Paesi europei, minacciando anche istituzioni nazionali e piattaforme di criptovalute. Con tecniche sofisticate di attacco come keylogging e VNC, DroidBot rappresenta un serio rischio per la sicurezza finanziaria degli utenti. Analizzeremo come funziona quest’attacco, chi ci sta dietro e quali precauzioni è necessario prendere per proteggersi.

Il funzionamento di DroidBot e le sue tecniche di attacco

DroidBot è spesso distribuito sotto forme di applicazioni legittime come servizi Google o strumenti di sicurezza, ingannando gli utenti e facendoli credere di scaricare app sicure. Una volta installato, questo trojan sfrutta i servizi di accessibilità di Android per ottenere il pieno controllo del dispositivo. In questo modo, può raccogliere credenziali di accesso e intercettare codici di autenticazione. Rispetto ad altre minacce informatiche, DroidBot riesce a rappresentare un pericolo notevole non tanto per la sua complessità, quanto per il suo modello di diffusione chiamato Malware-as-a-Service . Questo modello consente a diversi criminali informatici di utilizzare DroidBot in cambio di un pagamento.

Secondo gli analisti di Cleafy, nonostante DroidBot non si distingua per la sua tecnica, ciò che rende questa minaccia particolarmente allarmante è il suo approccio. A differenza di altri virus informatici, che sono gestiti in modo centralizzato, DroidBot sembra essere progettato per essere usato come un servizio. Questo significa che diversi attori della criminalità informatica possono accedervi e personalizzare le sue funzioni per scopi malevoli.

Le capacità di DroidBot sono insidiose e multifunzionali. Tra queste, troviamo la sovrapposizione delle schermate sui legittimi portali bancari, permettendo ai malintenzionati di raccogliere informazioni sensibili come nomi utente e password. Il malware è anche capace di intercettare SMS contenenti codici di autenticazione, oltre a catturare schermate del dispositivo infetto. Questi elementi funzionano in sinergia, consentendo agli operatori di svolgere transazioni fraudolente come se fossero gli utenti legittimi. Ogni azione può essere monitorata e gestita attraverso un pannello di controllo remoto, accessibile a chi ha pagato per utilizzare il malware.

Il sofisticato sistema di comunicazione di DroidBot

Una delle peculiarità di DroidBot è il suo sistema di comunicazione che utilizza due canali distinti: uno per il comando e controllo e l’altro per la trasmissione delle informazioni rubate. Questo approccio complicato rende più difficile per gli esperti di sicurezza informatica rilevare e neutralizzare il malware. I dati sottratti vengono inviati tramite MQTT, un protocollo di rete leggero pensato per la comunicazione tra dispositivi, mentre i comandi vengono inviati in modo sicuro attraverso HTTPS, che aggiunge un ulteriore strato di protezione al malware.

Aggiungendo complessità a questa già insidiosa minaccia, DroidBot incorpora funzioni segnaposto che indicano un processo di sviluppo continuo. Queste funzioni possono includere controlli di root, diversi livelli di offuscamento e unpacking multi-fase, suggerendo che i creatori del malware stanno costantemente migliorando le sue capacità, affinando le tecniche per rendere il trojan ancora più efficace e difficile da rilevare.

Chi sono i responsabili di DroidBot?

L’analisi condotta dagli esperti ha portato a ipotizzare che gli sviluppatori di DroidBot possano essere una rete di criminali informatici di lingua turca. La comunità di cyber-criminali che utilizza questo malware opera attraverso canali specifici, come Telegram, dove i membri possono ricevere supporto tecnico e scambiare strategie operative. Questa rete di affiliazione consente ai criminali di espandere il loro raggio d’azione e migliorare la loro efficienza nell’utilizzo del malware, con costi che si aggirano intorno ai 3000 dollari al mese per l’accesso.

Grazie al modello MaaS, DroidBot è in grado di colpire una vasta gamma di utenti e istituzioni, accrescendo così il suo impatto. Questo allerta istituzioni e utenti sull’importanza di adeguate misure di protezione per prevenire violazioni di sicurezza.

Strategie di difesa contro DroidBot

La lotta contro DroidBot, essendo un malware emergente, è complessa e richiede un’attenta considerazione. Per difendersi, è cruciale che gli utenti adottino abitudini di sicurezza informatica oculate. Una delle prime raccomandazioni è quella di evitare l’installazione di applicazioni provenienti da fonti non ufficiali o sconosciute, anche se queste sembrano legittime.

È fondamentale disporre di un software antivirus aggiornato sul dispositivo, in grado di riconoscere minacce nuove e in evoluzione. Si sconsiglia di non effettuare il rooting del dispositivo, poiché questo potrebbe compromettere le misure di sicurezza intrinseche del sistema operativo Android. Infine, mantenere il sistema operativo aggiornato con le ultime patch di sicurezza è essenziale per proteggere i propri dati e prevenire l’installazione di malware.

Nonostante DroidBot rappresenti una nuova e seria minaccia per la sicurezza informatica, adottare comportamenti prudenti può aiutare a tenere lontano il malware e a proteggere le proprie informazioni personali e finanziarie.