Hacked mobile phone on laptop computer

Mobile malware, oltre 70k attacchi da agosto a ottobre

News Privacy Sicurezza Tech e Social

Un particolare malware per smartphone e tablet ha accelerato la sua attività nel 2018, lanciando oltre 70.000 attacchi da agosto a ottobre.

Il malware mobile, soprannominato Rotexy, si è trasformato da spyware in un pericoloso trojan bancario con una serie di nuove funzionalità intelligenti. I ricercatori segnalano 70.000 attacchi tra agosto e ottobre con obiettivi basati principalmente in Russia.

In un brief tecnico pubblicato la scorsa settimana, i ricercatori di Kaspersky Lab hanno fatto luce sul malware Rotexy, che è stato individuato per la prima volta nell’ottobre 2014 come trojan spyware.

“La versione moderna di Rotexy combina le funzioni di un trojan bancario e di un ransomware“, hanno scritto i ricercatori di Kaspersky Lab Tatyana Shishkova e Lev Pikman. L’ultima versione del malware va ben oltre l’intercettazione di messaggi SMS e ha incorporato la manipolazione avanzata dello schermo del dispositivo con l’intento di rubare numeri di carte bancarie, oltre a eseguire attacchi di ransomware, hanno detto.

L’analisi di Kaspersky descrive quattro anni di miglioramenti costanti a Rotexy. La funzionalità di base e unica del trojan è sempre stata l’uso di una combinazione di tre sorgenti di comando e controllo che includono server C & C convenzionali, messaggistica SMS e l’utilizzo della piattaforma Google Cloud Messaging (GCM) (dove invia piccoli messaggi in JavaScript Object Notation su un dispositivo mobile utilizzando i server di Google).

“Questa “versatilità” era presente nella prima versione di Rotexy ed è stata una caratteristica di tutti i successivi rappresentanti della famiglia”, hanno detto i ricercatori. Originariamente, il trojan era identificato come Trojan-Spy.AndroidOS.SmsThief, ma man mano che le ricerche diventavano più sofisticate lo assegnavano a un’altra famiglia: Trojan-Banker.AndroidOS.Rotexy.

L’abilità chiave di Rotexy è sempre stata quella di intercettare e leggere i messaggi SMS, oltre a tracciare un elenco di tutti i processi in esecuzione e le applicazioni installate (incluso il possibile monitoraggio di applicazioni antivirus o bancarie). La versione più recente può bloccare lo schermo dei dispositivi per eseguire funzioni di ransomware o phishing.

Il nuovo processo di attacco di Rotexy
La versione più recente del trojan si diffonde tramite link inviati in SMS di phishing che richiedono all’utente di installare un’app. All’avvio, l’app richiede i diritti di amministratore del dispositivo e quindi inizia a comunicare con il proprio server C & C.

Al primo avvio, il trojan controlla che il dispositivo della vittima si trovi in ​​Russia e che non sia un emulatore utilizzato dai ricercatori di sicurezza per individuare malware. Se il dispositivo esegue il check out, il trojan si registra con il servizio di notifica mobile Google Cloud Messaging e avvia un servizio per verificare se il trojan dispone dei privilegi di amministratore del dispositivo.

“Se il Trojan rileva un tentativo di revocare i privilegi di amministratore, avvia periodicamente lo spegnimento dello schermo del telefono, cercando di fermare le azioni dell’utente”, hanno detto i ricercatori. “Se i privilegi vengono revocati correttamente, il Trojan riavvia il ciclo di richiesta dei privilegi di amministratore.”

Una volta avviato, il trojan può tenere traccia quando un telefono viene acceso o riavviato e se vengono inviati messaggi di testo.

Per eseguire le funzionalità di tracciamento degli SMS, il trojan invia l’IMEI (International Mobile Equipment Identity) del dispositivo infetto al server C & C e riceve a sua volta una serie di regole per l’elaborazione dei messaggi di testo in entrata.

Ciò include numeri di telefono e parole chiave che vengono applicati principalmente ai messaggi di banche, sistemi di pagamento e operatori di reti mobili.

“Rotexy intercetta tutti gli SMS in arrivo e li elabora in base ai modelli ricevuti dal C & C”, hanno affermato i ricercatori. “Inoltre, quando arriva un SMS, il Trojan mette il telefono in modalità silenziosa e spegne lo schermo in modo che l’utente non si accorga che è arrivato un nuovo SMS. Quando richiesto, il Trojan invia un SMS al numero di telefono specificato con le informazioni ricevute dal messaggio intercettato. ”

È qui che le funzionalità di ransomware del malware prendono vita. L’ultima versione di Rotexy è in grado di bloccare lo schermo del dispositivo per un “lungo periodo di tempo” e visualizza una pagina di estorsione che richiede un riscatto per sbloccarlo.

Rotexy mostra anche una pagina di phishing che pretende di essere una banca, che richiede all’utente di inserire i dettagli della propria carta di credito. In genere la pagina mostra un messaggio che informa che l’utente ha ricevuto un trasferimento di denaro e deve inserire il suo numero di carta di credito, in modo che il denaro possa essere trasferito sul suo conto.

“Questa pagina blocca lo schermo del dispositivo fino a quando l’utente non inserisce tutte le informazioni”, hanno detto i ricercatori. “Ha persino una propria tastiera virtuale che presumibilmente protegge la vittima dai keylogger“.

È interessante notare che il trojan è in grado di verificare se i dettagli della carta sono corretti. Rotexy lo fa intercettando un messaggio dalla banca in modelli per l’elaborazione di messaggi di testo in arrivo per il telefono delle vittime. Questo messaggio può contenere le ultime quattro cifre della carta bancaria connessa al numero di telefono.

Quindi, una volta che l’utente inserisce un numero di carta, il malware controlla il numero inserito verso la banca.

Fonte: Threatpost

Tagged