Mostra tutti

Trojan Banker – Attacco malware agli smartphone Android

Trojan Banker – Attacco malware agli smartphone Android 

Il Trojan Banker, il pericoloso malware che infetta gli Smartphone Android

All’inizio dello scorso mese di agosto sono stati da noi individuati vari casi di download automatico di un temibile Trojan bancario al momento della visualizzazione, da parte degli utenti, di alcuni siti di news, attraverso dispositivi mobile provvisti di sistema operativo Android. Come si è scoperto in seguito, tale comportamento nocivo veniva generato tramite la semplice visualizzazione di determinati annunci pubblicitari diffusi in Rete attraverso il noto servizio Google AdSense, e, inoltre, non si limitava esclusivamente ai siti di news. Di fatto, qualsiasi sito web che facesse uso del network di banner pubblicitari AdSense per mostrare réclame di vario genere, avrebbe potuto, potenzialmente, produrre la visualizzazione degli insidiosi annunci malevoli, per mezzo dei quali, in pratica, veniva scaricato ed automaticamente salvato sulla scheda SD del dispositivo mobile il pericoloso malware bancario denominato Trojan-Banker.AndroidOS.Svpeng. Un simile comportamento dannoso ci ha davvero sorpreso: in genere, prima di effettuare il download di un’applicazione, il browser notifica all’utente l’eventualità che quest’ultimo possa vedersi recapitare un file potenzialmente nocivo e, per tale motivo, dà la possibilità di scegliere se salvare il file sul proprio dispositivo, oppure rifiutare il download. Da parte nostra, siamo riusciti ad intercettare il traffico proveniente da un dispositivo sottoposto ad attacco, proprio durante la visualizzazione di tali “pubblicità”, ed abbiamo potuto determinare in che modo avvengono il download ed il salvataggio automatico del malware.

Trojan-Banker.AndroidOS.Svpeng

Vi presentiamo, innanzitutto, i dati relativi alle ultime versioni di Trojan-Banker.AndroidOS.Svpeng. L’estensione geografica inerente alla diffusione di tale malware mobile si limita esclusivamente alla Federazione Russa ed ai paesi CSI (Comunità degli Stati Indipendenti); più avanti vi riveleremo il perché di tale specifica circostanza.

Nell’arco di due mesi, Svpeng sia stato individuato, complessivamente, sui dispositivi mobile di circa 318.000 utenti; come si può vedere, al culmine della sua “popolarità”, il Trojan ha fatto registrare un picco di ben 37.000 utenti sottoposti ad attacco in un solo giorno. Cifre così rilevanti, ed i grafici dall’andamento decisamente altalenante, trovano una logica e semplice spiegazione nel fatto che gli annunci pubblicitari attraverso i quali si diffonde il malware vengono bloccati da Google in tempi piuttosto rapidi. Si tratta però, nella circostanza, di una misura reattiva, anziché proattiva: il blocco delle pubblicità malevole avviene, in effetti, “post factum”, dopo che migliaia di utenti Android hanno già scaricato involontariamente il Trojan sul proprio dispositivo. Occorre inoltre tener bene in considerazione la regolarità con cui, ormai da due mesi a questa parte, tali annunci pubblicitari penetrano all’interno della rete AdSense. Campagne malevole del genere vengono condotte anche adesso: l’ultima di esse è stata registrata, in effetti, il 19.10.2016.

Trojan Banker inserito su Adsense

Vedremo, ora, in che modo la visualizzazione dei banner pubblicitari risulta collegata al download automatico e al salvataggio, sulla scheda SD, del file APK maligno contenente il Trojan. Innanzitutto riportiamo, qui di seguito, la richiesta HTTP che conduce alla successiva visualizzazione, sullo schermo del dispositivo-vittima, del “messaggio pubblicitario” inserito su AdSense dai malintenzionati:

android banker trojan malware attacco

Il server risponde a tale query tramite un apposito JavaScript, utilizzato, per l’appunto, per mostrare l’annuncio di “advertising” all’utente mobile. Lo script in questione, però, contiene una “sorpresa”: esso difatti presenta, nella sua parte iniziale, stringhe di codice fortemente offuscato. Ma andiamo ad esaminare, per ordine, cosa fa, effettivamente, questo codice:

    1. Dichiarazione delle variabili occorrenti per lo svolgimento del “lavoro” richiesto, e decodifica del payload nocivo.

android banker trojan malware

Come si può ben vedere, il download del file APK avviene sotto forma di un array di byte codificato all’interno dello script. Adesso, in pratica, rimane soltanto da effettuare il salvataggio di tale file sulla scheda SD.

    1. Definizione della funzione che consentirà di realizzare il salvataggio del file malevolo.

trojan-banker-adsense

Il codice verifica la disponibilità delle necessarie funzioni nell’ambito dei motori dei vari browser presenti sul dispositivo; nel caso in cui esse non risultino disponibili, il codice malevolo ne definisce una propria. In tale funzione vengono creati l’oggetto dell’URL e l’elemento <a> (quest’ultimo, come è noto, nel linguaggio HTML definisce un collegamento ipertestuale). Al link ottenuto a seguito delle azioni qui sopra descritte viene assegnato l’attributo “href” (preposto ad indicare la destinazione verso la quale punta il collegamento); in tal modo, in pratica, viene poi generato l’apposito click realizzato dal software malevolo sull’hyperlink. Non si tratta, ad ogni caso, di un metodo innovativo: con ogni probabilità, i cybercriminali lo hanno preso in prestito proprio qui, aggiungendo poi l’offuscamento del codice e la “necessaria” limitazione, in base alla quale il programma malware effettuerà il click soltanto sui dispositivi provvisti di sistema touchscreen, ovvero sulla maggior parte degli smartphone.

    1. Ripartizione del file APK decodificato in vari blocchi, aventi una dimensione di 1024 byte.

trojan-banker-malware

  1. Installazione del gestore dell’evento relativo al caricamento della pagina web. L’attivazione di tale handler avvia, in pratica, l’operazione di salvataggio automatico del file APK sulla scheda SD.

trojan-banker

Il malware effettua, poi, alcune verifiche aggiuntive: esso controlla, ad esempio, se lo script viene eseguito o meno su di uno smartphone. Il codice da noi analizzato evidenzia, inoltre, la presenza di un ulteriore processo di verifica di particolare rilevanza: il Trojan controlla, di fatto, quale sia la lingua utilizzata per il dispositivo preso di mira. I malintenzionati, in sostanza, attaccano soltanto gli smartphone in cui si fa uso dell’interfaccia in lingua russa; si tratta quindi, principalmente, dei dispositivi mobile posseduti da utenti situati entro i confini della Federazione Russa, ed in misura minore, da utenti ubicati nella vasta area geografica occupata dagli ulteriori paesi che formano la Comunità degli Stati Indipendenti (CSI).

Trojan Banker…dov’è, allora, il “trucco”?

Il metodo malevolo qui sopra descritto funziona esclusivamente con Google Chrome per Android. Prima di eseguire il download di un file .apk mediante l’utilizzo di un link destinato a condurre verso una risorsa web esterna, il browser, come è noto, emette un’apposita notifica di avvertimento riguardo al fatto che stiamo per scaricare un oggetto potenzialmente pericoloso, e propone quindi all’utente la scelta se effettuare o meno il salvataggio del file.

Con la frammentazione del file .apk in varie parti, e con la successiva trasmissione delle stesse alla funzione di salvataggio attraverso la classe Blob(), non viene in sostanza effettuata la verifica relativa alla tipologia di oggetto da salvare, ed il browser provvede quindi al salvataggio dell’.apk senza avvertire l’utente riguardo a tale attività.

Da parte nostra, abbiamo provveduto ad informare Google riguardo a tale specifico comportamento del browser, ed al fatto che, sfruttando questo comportamento, i malintenzionati realizzano la distribuzione di malware. Al momento della pubblicazione del presente articolo, è stata già effettuata la release della patch necessaria per eliminare il problema manifestatosi su Google Chrome; la stessa, con il prossimo aggiornamento, risulterà disponibile per gli utenti.

In tutti gli altri browser, il metodo malevolo descritto in precedenza o non funziona affatto, oppure offre, in ogni caso, all’utente, la scelta se procedere o meno al salvataggio del file. Kaspersky Lab raccomanda di eseguire l’aggiornamento di Google Chrome, per escludere la possibilità di eventuali infezioni informatiche, realizzate attraverso il dispiegamento di programmi malware, durante la visualizzazione, da parte degli utenti, di siti web che fanno uso del servizio AdSense.

Lista malware e trojan dannosi con denominazione .apk

Naturalmente, non si rivela sufficiente scaricare semplicemente il programma malware; occorre che l’utente installi poi l’app dannosa sul proprio dispositivo. I malintenzionati, di solito, cercano di risolvere questo “problema” ricorrendo all’utilizzo di insidiose tecniche di ingegneria sociale. Di fatto, il malware qui esaminato può effettuare il proprio salvataggio sulla scheda SD utilizzando le seguenti denominazioni:

  • last-browser-update.apk
  • WhatsApp.apk
  • Google_Play.apk
  • 2GIS.apk
  • Viber.apk
  • DrugVokrug.apk
  • Instagram.apk
  • VKontakte.apk
  • minecraftPE.apk
  • Skype.apk
  • Android_3D_Accelerate.apk.
  • SpeedBoosterAndr6.0.apk
  • new-android-browser.apk
  • AndroidHDSpeedUp.apk
  • Android_update_6.apk
  • WEB-HD-VIDEO-Player.apk
  • Asphalt_7_Heat.apk
  • CHEAT.apk
  • Root_Uninstaller.apk
  • Mobogenie.apk
  • Chrome_update.apk
  • Trial_Xtreme.apk
  • Cut_the_Rope_2.apk
  • Установка.apk (Installazione.apk)
  • Temple_Run.apk

Tutte le denominazioni qui sopra elencate non fanno altro che copiare i nomi assegnati ad applicazioni legittime particolarmente diffuse presso il vasto pubblico degli utenti mobile, oppure cercano di convincere questi ultimi, con nomi allettanti, riguardo all’importanza e all’effettiva necessità di installare l’app scaricata. Nelle versioni più recenti di Android, l’installazione di applicazioni provenienti da fonti sconosciute risulta vietata per impostazione predefinita; i malintenzionati, tuttavia, contano sul fatto che gli utenti vadano poi a disattivare tale opzione, per realizzare l’installazione di qualche “importante aggiornamento del browser” o di una nuova versione di un’applicazione che gode di particolare popolarità.

Al momento attuale, i cybercriminali che diffondono in Rete il Trojan Svpeng prendono di mira esclusivamente gli utenti di smartphone situati in Russia; non vi è però alcuna garanzia del fatto che la prossima “pubblicità” collocata da tali malfattori su AdSense non vada ad attaccare gli utenti Android ubicati in altri paesi; del resto, casi del genere si sono già verificati, in passato. Il problema di fondo è che si rivela decisamente “comodo”, per i malintenzionati, utilizzare la piattaforma di advertising in assoluto più popolare per ottenere il download delle proprie “creature” malware sui dispositivi di centinaia di migliaia di utenti.

Credits

libro vita da hacker