Articoli

TeaBot, il malware per Android sta prendendo di mira l’Italia: attenti alle frodi bancarie

Si chiama TeaBot il nuovo trojan bancario per Android che da inizio anno sta prendendo di mira utenti in tutta Europa dirottando le loro credenziali di accesso e i messaggi SMS per facilitare attività fraudolente contro le banche in Italia, Spagna, Germania, Belgio e Paesi Bassi.

Negli ultimi giorni, in particolare, gli sviluppatori di TeaBot hanno aggiunto altre sette false app bank italiane come target dei loro attacchi tra cui grossi nomi come BNL, Intesa San Paolo, BancoPosta, Unicredit e Banco MPS, a dimostrazione del fatto che il nostro Paese è tra quelli più esposti alla minaccia di frodi bancarie. Una volta installato con successo nel dispositivo della vittima, infatti, TeaBot consente agli attaccanti di ottenere un live stream dello schermo e interagire col dispositivo stesso sfruttando i servizi di accessibilità di Android. TeaBot è stato scoperto dal Threat Intelligence and Incident Response (TIR) di Cleafy, azienda italiana di sicurezza informatica e prevenzione delle frodi online che al momento ha identificato più di 60 banche come obiettivi del malware.

Gli obiettivi di TeaBot

In particolare, nel suo rapporto, il TIR di Cleafy ha osservato che da un’approfondita analisi di una nuova ondata di campioni rilevata nel mese di marzo 2021, sono stati riscontrati, per la prima volta, molteplici payload nei confronti delle banche italiane e tedesche. Invece solo dall’inizio del mese di maggio sarebbe stata rilevata anche l’inclusione d’iniezioni malevole contro banche belghe e olandesi.
Inoltre, altre evidenze dimostrerebbero che il malware possiederebbe un supporto multilingue comprendente oltre la lingua spagnola, italiana, tedesca e olandese anche quella inglese e francese.

Le caratteristiche tecniche

TeaBot, pur essendo nelle prime fasi di sviluppo (come evidenziato da alcune irregolarità riscontrate durante l’analisi), sarebbe dotato di alcune funzionalità che abusano dei servizi di accessibilità Android con caratteristiche comuni anche ad altri noti trojan mobile:
• il controllo remoto dei dispostivi target
• il furto di codici 2FA (doppia autenticazione);
• l’invio e l’intercettazione di messaggi SMS;
• l’esfiltrazione di dati bancari;
• la disabilitazione di Google Protect.

Più precisamente, tra le principali caratteristiche osservate durante l’analisi dei campioni, i ricercatori avrebbero identificato funzionalità di:
• keylogger (simili a quelle già riscontrate nel trojan bancario EventBot, anche se, a differenza di quest’ultime, tracciano solo la presenza di alcune app mirate, generando quindi meno traffico nella comunicazione C2);
• screenshot (per acquisire immagini allo scopo di monitorare costantemente lo schermo del dispositivo compromesso);
• overlay (tecnica nota e già implementata sui famigerati trojan Android Anubis, Cerberus e Alien e che consiste nell’imitare una app o sovrapporre un WebView ad un’applicazione legittima).

Indicatori e catena d’infezione

Gli sviluppatori di TeaBot hanno utilizzato, per rendere più difficoltoso il reverse engineering, delle tecniche di anti analisi già impiegate da altri malware simili, come ad esempio l’utilizzo di “codice spazzatura”, la crittografata XOR anche se parziale e una catena infettiva suddivisa in due stadi in cui l’app vera e propria funge da dropper che carica dinamicamente in una seconda fase il payload effettivo (.dex). Inoltre, quando l’app malevola viene scaricata sul dispositivo, TeaBot tenta di nascondersi anche all’utente, impedendone il rilevamento e garantendo la persistenza, installandosi come servizio in background e istaurando, sin dall’inizio, una comunicazione silenziosa con il proprio server di comando e controllo. Successivamente, per poter eseguire le operazioni malevoli per le quali è stato programmato, TeaBot richiede delle specifiche autorizzazioni Android allo scopo di intercettare e osservare le azioni dell’utente, recuperare informazioni sensibili ed eseguire comandi arbitrari. Solo alla fine, a installazione completata con successo, il malware procede a rimuovere la propria icona dal dispositivo, nel tentativo di ridurre la possibilità di una ulteriore individuazione da parte dell’utente.

Come avviene la comunicazione col server?

Dall’analisi condotta sulla comunicazione di rete che il malware TeaBot instaura con il proprio server C2, il team di sicurezza ha identificato tre tipologie principali di comunicazione definite attraverso delle api deputate rispettivamente: all’aggiornamento della configurazione, al recupero dell’elenco delle app targettizzate, all’iniezione di codice in relazione alle app target rilevate.

Come proteggersi dai banking trojan per Android?

Come affermato dagli stessi ricercatori, TeaBot, in modo simile al malware per Android Oscorp, cerca di ottenere un’interazione in real-time con i dispositivi compromessi, al fine di eseguire uno scenario di attacco ATO (Account Takeover) abusando semplicemente dei servizi di accessibilità Android per acquisire in modo fraudolento il controllo dei nuovi dispositivi. Pertanto, per proteggersi dalle minacce sempre più dilaganti in ambiente mobile correlate alle innumerevoli varianti dei trojan bancari, è sempre raccomandabile seguire almeno delle misure minime di sicurezza:
• verificare sempre l’attendibilità delle app utilizzate, confrontandosi con i relativi servizi clienti;
• controllare le valutazioni degli utenti prima di scaricare una nuova app;
• affidarsi con cautela solo agli store legittimi: Google Play resta sempre e comunque una fonte attendibile;
• prestare attenzione alle autorizzazioni richieste dai processi d’installazione delle app, concedendole solo se sicuri che siano necessarie per il corretto funzionamento;
• scansionare regolarmente il proprio dispositivo mobile per la ricerca delle minacce più recenti con sistemi antivirus aggiornati;
• tenere sempre aggiornato il proprio sistema operativo Android con gli update e le patch di sicurezza rilasciati periodicamente.

 

Fonte: CyberSecurity360

Bug nella Fotocamera di Android, milioni di utenti a rischio cyber spionaggio

Scoperta una vulnerabilità nell’app Fotocamera di Android che consente ai criminal hacker di scattare foto, video e rubare informazioni riservate: a rischio milioni di smartphone Google Pixel e Samsung. Un problema serio soprattutto per i dirigenti di azienda e gli smart worker.

È stato scoperto un pericoloso bug in numerosi modelli di smartphone Android prodotti da Google, Samsung e altri che consente ai criminal hacker di controllare a distanza il dispositivo e scattare foto o registrare video sfruttando l’app Fotocamera senza avere permessi specifici per farlo, anche a telefono bloccato o a schermo spento e addirittura silenziando l’otturatore in modo che la vittima non possa sentire quando si scattano le foto.

Bug nella Fotocamera di Android: i dettagli

In particolare, sfruttando con successo la vulnerabilità scoperta da alcuni ricercatori di sicurezza, i criminal hacker potrebbero essere in grado di bypassare i controlli di sicurezza del sistema operativo Android basati sulle autorizzazioni che di fatto impongono alle applicazioni installate sui dispositivi mobile di definire esplicitamente a quali servizi, funzionalità e dati personali dell’utente accederanno.

Aggirate tali restrizioni, un eventuale attaccante è in grado di accedere alla telecamera e al microfono del dispositivo senza alcuna autorizzazione a farlo.

In un altro scenario di cyber spionaggio, gli attaccanti potrebbero riuscire a bypassare i permessi di archiviazione e accedere a foto e video archiviati nella memoria interna ed esterna del dispositivo, riuscendo anche a identificare l’esatta posizione geografica della vittima scattando foto e video e analizzandone i relativi dati EXIF.

I ricercatori di sicurezza hanno scoperto che una qualunque app malevola dotata della sola autorizzazione “Storage” (quella più comunemente richiesta) per l’accesso alla memoria dello smartphone potrebbe sfruttare la vulnerabilità dell’app Fotocamera di Android e tutte le sue autorizzazione per portare a termine un attacco di cyber spionaggio a totale insaputa della vittima.

Per comprendere la gravità del problema, basti pensare che sono tantissime le applicazioni che richiedono il permesso di accesso alla memoria del telefonino, tra cui giochi di corse automobilistiche, servizi di streaming e persino le app per le previsioni meteo.

Come correggere la vulnerabilità?

I ricercatori hanno rivelato la vulnerabilità a Google lo scorso 4 luglio 2019. Il 23 luglio Big G l’ha quindi confermata e classificata con un indice di gravità “Elevato”.

Il successivo 1° agosto Google ha confermato che la vulnerabilità ha influenzato anche le applicazioni Camera di altri produttori di dispositivi mobili Android.

Sempre nel mese di agosto, inoltre, si è accertato che anche l’applicazione Camera di Samsung era esposta alla vulnerabilità.

Per i dispositivi Google la vulnerabilità è quindi stata corretta con un aggiornamento dell’app Fotocamera resa disponibile sul Google Play Store. La patch, inoltre, è stata distribuita anche ad altri produttori. Il consiglio per prevenire qualunque tentativo di cyber spionaggio è dunque quello di aggiornare l’app della fotocamera il prima possibile.

 

Fonte: CyberSecurity360

Vulnerabilità in WhatsApp, basta una GIF per rubare dati dallo smartphone

WhatsApp per Android ha una vulnerabilità critica di tipo Double-free (“a doppia liberazione di memoria”) che, se sfruttata con successo, potrebbe consentire ai criminal hacker di compromettere i dispositivi Android, prenderne il controllo e rubare file e messaggi di chat semplicemente inviando un’immagine GIF contenente un codice di payload malevolo.

I dettagli della vulnerabilità in WhatsApp per Android

La vulnerabilità non risiede nel codice sorgente di WhatsApp ma in una libreria open source utilizzata dalla Galleria di WhatsApp ed in particolare nel modo in cui l’app genera un’anteprima per i file multimediali come immagini, video e GIF (che tra l’altro rappresentano uno dei contenuti più condivisi dagli utenti non solo su WhatsApp).

In particolari condizioni d’uso, il difetto di sicurezza causa una corruzione della memoria dello smartphone mandandolo in crash oppure, come nel caso di WhatsApp, consentendo ai criminal hacker di ottenere l’accesso al dispositivo con privilegi utente elevati.

La caratteristica di questa particolare vulnerabilità Double-free è dunque quella di consentire ai criminal hacker di sfruttare sia un exploit di tipo RCE (Remote Code Execution) per l’esecuzione del payload malevolo sia di tipo PoE (Privilege Escalation) nel contesto del processo di esecuzione di WhatsApp e quindi con i permessi che l’applicazione ha sul dispositivo.

In questo modo, il payload malevolo ha tutti i permessi di accesso in lettura e scrittura alla memoria dello smartphone (sia quella interna sia quella esterna su SD card) e al database dei messaggi. E avrà anche tutte le autorizzazioni già concesse a WhatsApp dall’utente, inclusa la registrazione audio, l’accesso alla telecamera, l’accesso al file system, alla sandbox stessa dell’app e così via.

Per sfruttare questa vulnerabilità, un aggressore non deve fare altro che inviare un’immagine in formato GIF sul dispositivo Android della vittima utilizzando qualsiasi canale di comunicazione (quindi non necessariamente la chat di WhatsApp) e attendere che l’utente semplicemente apra la Galleria dell’app di messaggistica per condividere un qualsiasi contenuto con un amico.

Infatti, poiché il bug risiede nella libreria usata da WhatsApp per mostrare l’anteprima dei file multimediali, l’utente non deve inviare nulla perché la semplice apertura della Galleria di WhatsApp nella quale adesso è memorizzata anche la GIF malevola inviata dai criminal hacker (e usata quindi come grimaldello) innescherà automaticamente la vulnerabilità.

Da questo momento, l’aggressore riesce a stabilire un collegamento diretto con il dispositivo della vittima e a prenderne il controllo.

L’unica accortezza che gli aggressori devono seguire, qualora decidessero di inviare la GIF alle loro vittime sfruttando una piattaforma di messaggistica come WhatsApp o Messenger, è quella di condividerla come documento e non come file multimediale: l’algoritmo di compressione delle immagini utilizzato dalle app di messaggistica per velocizzare la condivisione di questo tipo di file, infatti, potrebbe danneggiare il payload nascosto nell’immagine e quindi impedire di fatto lo sfruttamento della vulnerabilità.

Ecco come correggere la vulnerabilità

La vulnerabilità interessa la versione 2.19.230 di WhatsApp e le precedenti in esecuzione su Android 8.1 e 9.0, mentre non è possibile innescarla su Android 8.0 e su release inferiori del sistema operativo mobile di Google in quanto il dispositivo si bloccherebbe prima che venga eseguito il payload malevolo per una diversa gestione delle chiamate alle librerie di sistema.

La vulnerabilità è stata segnalata a Facebook, proprietaria di WhatsApp, alla fine di luglio di quest’anno ma l’azienda ha incluso una patch di sicurezza soltanto nella versione 2.19.244 dell’app rilasciata a settembre.

Per proteggersi da questa vulnerabilità e mettere in sicurezza lo smartphone è dunque necessario aggiornare WhatsApp il prima possibile all’ultima versione disponibile su Google Play.

Tuttavia, poiché la vulnerabilità risiede in una libreria open source, è possibile che anche altre applicazioni Android siano esposte ad attacchi simili. Per questo motivo, lo sviluppatore della libreria interessata, chiamata Android GIF Drawable, ha rilasciato a sua volta la versione 1.2.18 che corregge la vulnerabilità Double-free.

WhatsApp per iOS non è, ovviamente, interessato da questa vulnerabilità.