Alien.
Advanced Premium Member
DroidBot: il Trojan che attacca i conti di 14 banche italiane
DroidBot ha tutte le caratteristiche tecniche necessarie agli hacker per svuotare un conto corrente senza nemmeno toccare lo smartphone: è pericolosissimoPubblicato: 9 Dicembre 2024
Condividi
Giuseppe Croce
Giornalista
Un nuovo pericolo minaccia i conti correnti degli utenti Android in Europa, compresi milioni di italiani. Si chiama DroidBot ed è un Trojan di ultima generazione, scoperto dalla società di cybersicurezza Cleafy a fine ottobre 2024.
Questo malware bancario, ancora in fase di sviluppo, si distingue per la sua sofisticatezza e per l’utilizzo di tecniche innovative che lo rendono una minaccia particolarmente insidiosa.
Come funziona DroidBot
DroidBot è un RAT (Remote Access Trojan) che combina le classiche funzionalità di VNC nascosto e overlay attack con capacità tipiche degli spyware, come il keylogging e il monitoraggio dell’interfaccia utente.In parole molto più semplici, DroidBot non solo può controllare a distanza il dispositivo infetto, ma è anche in grado di rubare dati sensibili come credenziali di accesso a tutti gli account online, comprese le informazioni per accedere ai conti correnti online.
Ciò che rende DroidBot particolarmente pericoloso è la sua capacità di comunicare attraverso due canali distinti: MQTT per l’invio di dati verso l’esterno e HTTPS per la ricezione di comandi. Questa strategia rende il malware più resistente ai tentativi di neutralizzazione e più difficile da individuare.
L’analisi dei campioni di DroidBot ha rivelato l’esistenza di un’infrastruttura Malware-as-a-Service (MaaS, in pratica il virus viene affittato a canone mensile), con 17 gruppi di affiliati identificati, ognuno con un identificativo univoco.
Alcuni di questi gruppi sembrano collaborare o partecipare a sessioni dimostrative delle capacità del malware, il che suggerisce un livello di organizzazione e coordinamento piuttosto elevato.
L’origine del virus, da alcuni commenti scritti all’interno del codice, sembrerebbe però turca.
Come si diffonde DroidBot
Per indurre le vittime a scaricare e installare DroidBot, gli aggressori utilizzano esche comuni, come applicazioni di sicurezza generiche, servizi Google o app bancarie popolari. Una volta installato, DroidBot abusa dei servizi di accessibilità di Android per svolgere le sue funzioni dannose.Tra le capacità più pericolose di DroidBot, ci sono l’intercettazione degli SMS, il keylogging, l’overlay attack, la registrazione periodica di screenshot e il controllo remoto del dispositivo.
Sono già state identificate app fake di 77 banche e istituti finanziari di vari paesi, ben 14 anche in Italia:
- Credem
- Intesa Sanpaolo
- Mediolanum
- Banca Sella
- Banco Popolare
- Unicredit
- Che Banca
- Monte dei Paschi di Siena
- Creval
- Nexi
- Banca Popolare di Sondrio – Scrigno
- Poste Italiane
- Poste Pay
- ING
Il fatto che DroidBot possa spiare a fondo lo smartphone infetto, poi, permette agli hacker di intercettare anche i codici OTP inviati dalle banche via SMS per sbloccare le operazioni di pagamento.
Come proteggersi da DroidBot
Le strategie di difesa contro DroidBot non si discostano molto da quelle raccomandate per contrastare altre minacce simili. La prudenza e l’attenzione rimangono le armi migliori a disposizione degli utenti.È fondamentale evitare di scaricare applicazioni da fonti non affidabili, affidandosi esclusivamente al Play Store ufficiale e verificando attentamente le autorizzazioni richieste dalle app prima dell’installazione.
Ricordiamo, per l’ennesima volta, che se un’app chiede l’autorizzazione per usare i servizi di accessibilità, allora c’è qualcosa che non va.
Inoltre, è importante prestare attenzione ai messaggi sospetti, come SMS o email che invitano a scaricare allegati o a cliccare su link sconosciuti.
Mantenere il sistema operativo del proprio dispositivo Android sempre aggiornato, poi, è cruciale per beneficiare delle ultime patch di sicurezza.
L’installazione di una soluzione di sicurezza mobile affidabile può fornire un ulteriore livello di protezione, aiutando a individuare e bloccare eventuali minacce.
TAG:
- CYBERCRIME
Leggi anche
Virus per PC e smartphone: cosa vuol dire malware, spyware, trojan, ransomware
Scoperte 15 app svuota conto: è l'attacco SpyLoan di Natale
Come fanno gli hacker a bucare i conti online
Cosa vuol dire phishing, vishing, smishing, quishing
MacBook Pro da 14 e 16 pollici: caratteristiche e prezzi delle versioni con M4
A ME è successo 4 anni fa mi hanno bloccato la carta prepagata vado a pagare il traghetto e nulla da fare 2 giorni prima mi è arrivato dalla banca vari messaggi in cui mi dicevano di virus e chiamare il numero ecc. io lascio perdere. Al ritorno chiamo la banca al numero verde mi dicono che hanno bloccato loro la carta per sicurezza ???? Poi me magia i messaggi della banca sono spariti dal mio cellulare!! voi cosa pensate ? Facile sono le banche stesse a creare truffe o da certe persone del numero verde.
Siamo in guerra economica si fanno i morti in silenzio.
