Android infettati da un falso aggiornamento di Flash Player

Condividilo... grazie!Share on FacebookShare on Google+Tweet about this on TwitterEmail this to someone

I ricercatori della Dr Web hanno scoperto una nuova variante di BankBot progettato per colpire tutte le versioni del sistema operativo Android. Il malware, in grado di rubare le credenziali per accedere ai nostri conti bancari online, è nascosto all’interno di un falso aggiornamento di Adobe Flash Player.

android
La nuova variante del malware BankBot è nascosta all’interno di un falso aggiornamento di Adobe Flash Player

Alcuni mesi fa un ricercatore della Securify aveva scoperto che Funny Videos 2017, un’applicazione Android infettata dal malware BankBot, era stata in grado di rubare in pochi giorni i dati di oltre 5000 carte di credito.

In questi giorni sono state rimosse da Google Play numerose applicazioni infette collegate ad un falso aggiornamento di Flash Player, il software della Adobe usato prevalentemente in campo grafico che permette di creare animazioni vettoriali principalmente per il web. Il programma viene inoltre usato per creare giochi o interi siti web.

I laboratori della Dr Web, che stavano monitorando il trojan bancario da alcune settimane, hanno osservato che inizialmente questa minaccia era rivolta esclusivamente ad utenti con conti bancari in Turchia. Una minaccia che ora prende di mira anche altri Paesi europei come Polonia, Regno Unito, Francia.

Turchia: HalkBank – VakıfBank – IŞBank – DenizBank A.Ş. – OdeaBank

Polonia: mBank S.A. 

Regno Unito: Hsbc Bank

Francia: Banque Populaire

Di seguito alcune delle funzioni a cui il trojan bancario potrà accedere

  • rubare le credenziali d’accesso dei conti correnti bancari
  • rubare i dati delle carte di credito
  • leggere gli SMS in entrata
  • rubare i contatti presenti nella rubrica
  • rubare le credenziali d’accesso di numerosi programmi social e fra questi Facebook, YouTube, WhatsApp, Snapchat, Instagram, Twitter
  • effettuare chiamate
  • riavviare lo smartphone

Le caratteristiche dell’applicazione Android sono:

nome applicazione: Flash Player

dimensioni: 1284707 bytes

crc32: 20AFD163crc32 20AFD163

md5: 933254b99441432e28c84ec7951ab416

sha1: 798fb9264bd1c76924a720a260151fa7ac0660da

ssdeep 24576:KWO0X17VONfosq/5wv7H3W5LL+LqgX3SSc:KWOo7Vxwv7mFL+LqgX3Sv

sha256: b314e54a1161deccb2f582aaf6356f2e66a2f983dd1c1ebf7a5c5d9f5a873dba

sha512: b689cf2a9cc6c6d398a92db8e144886e23a5ac1340beed14ca5e41c39c1f47f827aad54d269615a4a4

16df53de433720ce602a8c22bc35a5446160a4a082d65

Il funzionamento di BankBot ricalca molto da vicino quello di altri trojan bancari. Il malware ha la capacità di sovrappone una falsa finestra di login a quella legittima della nostra App bancaria.

Vengono anche presi di mira 3 marche specifiche di smartphone:

HTC

Sony

Huawei

di seguito le stringhe di codice relative alle funzioni a cui potrà accedere grazie ai permessi modificati:

  • com.huawei.android.launcher.permission.WRITE_SETTINGS
  • android.permission.QUICKBOOT_POWERON
  • android.permission.PROCESS_OUTGOING_CALLS
  • com.google.android.c2dm.permission.RECEIVE
  • com.huawei.android.launcher.permission.CHANGE_BADGE
  • android.permission.INTERNET
  • com.go.sfad.cas.permission.C2D_MESSAGE
  • com.sec.android.provider.badge.permission.WRITE
  • android.permission.SEND_SMS
  • com.oppo.launcher.permission.READ_SETTINGS
  • com.majeur.launcher.permission.UPDATE_BADGE
  • android.permission.WRITE_SMS
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.GET_TASKS
  • me.everything.badger.permission.BADGE_COUNT_READ
  • com.htc.launcher.permission.UPDATE_SHORTCUT
  • com.htc.launcher.permission.READ_SETTINGS
  • me.everything.badger.permission.BADGE_COUNT_WRITE
  • android.permission.RECEIVE_BOOT_COMPLETED
  • com.anddoes.launcher.permission.UPDATE_COUNT
  • com.sonymobile.home.permission.PROVIDER_INSERT_BADGE
  • android.permission.CALL_PHONE
  • android.permission.READ_PHONE_STATE
  • com.oppo.launcher.permission.WRITE_SETTINGS
  • android.permission.READ_SMS
  • android.permission.VIBRATE
  • com.huawei.android.launcher.permission.READ_SETTINGS
  • android.permission.WAKE_LOCK
  • android.permission.RECEIVE_SMS
  • android.permission.MODIFY_PHONE_STATE
  • android.permission.MODIFY_AUDIO_SETTINGS
  • com.sonyericsson.home.permission.BROADCAST_BADGE
  • com.sec.android.provider.badge.permission.READ
  • android.permission.READ_APP_BADGE

Come sempre le raccomandazioni per non ritrovarsi uno Smartphone in balia di criminali informatici sono le solite

  • aggiornate sempre il vostro sistema operativo con le ultime patch disponibili
  • installate un software antivirus che integri anche un modulo firewall
  • evitate di visitare siti web di dubbia reputazione
  • il download dei software andrebbe effettuato esclusivamente dal sito del produttore evitando siti di terze parti. In alternativa utilizzate solo siti conosciuti e con una reputazione positiva.
Condividilo... grazie!Share on FacebookShare on Google+Tweet about this on TwitterEmail this to someone

Add a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*