Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

MysteryBot: nuovo trojan bancario per Android

dispositivi mobili  LokiBot  MysteryBot  ransomware  trojan   venerdì, 15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric (ex SfyLabs) hanno scoperto un nuovo trojan bancario per i dispositivi mobili Android, battezzato MysteryBot, che presenta numerose similarità con il già noto LokiBot.

Stando a quanto riscontrato dgli analisti, MysteryBot è basato in parte sul codice di LokiBot e ne condivide il server C&C, facendo ipotizzare che si tratti di un’evoluzione di LokiBot o di un nuovo malware creato dagli stessi autori.

MysteryBot appare in fase di sviluppo e non ancora molto diffuso. Questo malware presenta le stesse funzionalità di base del suo predecessore, anche se le tecniche impiegate sono state aggiornate per garantirne la compatibilità con le versioni più recenti del sistema operativo Android (7 Nougat e 8 Oreo).

Per quanto riguarda la tecnica di overlay, che consente al malware di mostrare all’utente false schermate di login di un gran numero di app bancarie, gli autori di MysteryBot hanno trovato il modo di sincronizzare la comparsa di queste schermate con l’istante in cui l’utente lancia l’app bersaglio e la porta in primo piano. A questo scopo, MysteryBot sfrutta l’autorizzazione Android PACKAGE_USAGE_STATS che consente di utilizzare le API della classe UsageStatsManager per accedere alle statistiche di utilizzo delle app installate, comprese quelle aperte dall’utente in un dato momento.

Dato che l’uso di queste API richiede che l’utente conceda l’autorizzazione tramite l’applicazione Impostazioni, MysteryBot sfrutta i servizi per l’accessibilità di Android (AccessibilityService) per poter usufruire di tutte le autorizzazioni richieste senza l’esplicito consenso della vittima.

Una volta attivo sul dispositivo infetto, MysteryBot si presenta come una falsa app Adobe Flash Player. In figura viene mostrato il malware elencato tra le app che richiedono l’accesso alle statistiche di utilizzo. Una volta che l’utente concede inconsapevolmente tale autorizzazione, il malware è in grado di svolgere le sue attività malevole.

MisteryBot

Fonte: ThreatFabric

MysteryBot è in grado di falsificare più di 100 applicazioni bancarie, oltre ad alcune app di ampia diffusione quali Facebook, WhatsApp e Viber. Le app bancarie prese di mira da questo trojan provengono da numerosi paesi, tra cui Australia, Austria, Germania, Spagna, Francia, Croazia, Polonia e Romania. Mediante la tecnica di overlay, MysteryBot cattura le credenziali di autenticazione di queste app e le invia ai server C&C controllati dai cybercriminali. Al momento, non risultano coinvolte banche italiane.

Anche la funzionalità di keylogger, mutuata da LokiBot, è realizzata mediante una tecnica innovativa rispetto a quelle riscontrate in altri malware similari. Invece di sfruttare i servizi per l’accessibilità per registrate i tasti premuti o catturare schermate ogni volta che l’utente preme un tasto, MysteryBot intercetta la posizione dei tocchi e delle gesture dell’utente, cercando di indovinare i tasti premuti sulla base della dimensione e della posizione sullo schermo della tastiera virtuale utilizzata.

Apparentemente questa funzionalità non è ancora pienamente sviluppata in quanto i dati raccolti non vengono usati in alcun modo, né inviati ai server remoti.

Come LokiBot, anche MysteryBot include una funzionalità di ransomware. Il trojan tenta di bloccare l’accesso ai file dell’utente memorizzati nello storage esterno archiviandoli individualmente in file ZIP protetti con password e cancellando gli originali. La password è la stessa per tutti gli archivi e viene generata dinamicamente dal malware durante l’esecuzione.

Una volta terminata la fase di cifratura, MysteryBot presenta alla vittima una schermata di dialogo in cui lo accusa di aver visionato materiale pedopornografico. Per poter ottenere la password di accesso ai file cifrati l’utente è invitato a contattare gli autori ad uno specifico indirizzo Email. Come sempre, si raccomanda alle vittime di questo tipo di malware di non pagare MAI le somme richieste dai cybercriminali per non alimentare questo tipo di attività illecite e anche perché non vi è alcuna garanzia di riottenere l’accesso ai propri file.

Secondo gli esperti che hanno analizzato questo malware, la funzionalità di ransomware presenta due vistose falle. Innanzitutto, le password utilizzate sono di soli 8 caratteri e includono esclusivamente caratteri latini (maiuscoli e minuscoli) e numeri. Questo potrebbe consentire con relativa facilità di ottenere la password mediante attacchi a forza bruta. Il secondo problema riguarda la generazione dell’ID univoco della vittima, costituito da un numero tra 0 e 9999. Dato che il malware non effettua nessuna verifica di eventuali ID già memorizzati nel database remoto, esiste la possibilità che, in caso di sovrapposizione, una delle vittime risulti impossibilitata a recuperare i propri file.

Il post originale sul blog di ThreatFabric contiene un’analisi dettagliata di MysteryBot, l’elenco completo delle app colpite da questo malware e svariati indicatori di compromissione (IoC). Il tasso di rilevazione di MysteryBot da parte dei più diffusi antivirus risulta abbastanza elevato.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda di non installare mai app da repository alternativi o direttamente mediante file APK. Si consiglia inoltre di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Scoperta variante del ransomware Rakhni con capacità di miner

6 luglio 2018

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del ransomware Rakhni che introduce una funzionalità per il mining di criptovalute.Leggi tutto

App Android per il risparmio batteria nasconde adware e sottrae informazioni

22 giugno 2018

I ricercatori di RiskIQ hanno scoperto un'app malevola sullo store ufficiale di Google che nasconde un adware in uno strumento per il risparmio energetico.Leggi tutto

Campagna di Email malevole ai danni di utenti italiani

20 giugno 2018

Il CERT-PA ha rilevato una nuova campagna di Email di spam indirizzata ad utenze italiane e volta alla diffusione di malware.Leggi tutto