Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Faketoken : la nuova versione del trojan cripta i dati
- MARTEDÌ 20 DICEMBRE 2016

 
E' stata scoperta una nuova versione di Faketoken,un trojan bancario per i dispositivi Android già noto dal 2013: è programmato per catturare  le credenziali di accesso degli utenti ai sistemi di banking online e i dati delle carte di credito. Nella versione precedente i dati venivano rubati e inviati ad un server command&control: da lì entravano in possesso di un gruppo di cyber-criminali che li usava quindi per eseguire transazioni a proprio favore. 
La nuova versione non si limita a sottrarre dati sensibili, ma  blocca anche il dispositivo per poi eseguire la cifratura dei dati
Questa caratteristica è insolita e lo fa rientrare tra i ransomware, malware che appunto criptano i dati delle vittime richiedendo un riscatto in denaro per sbloccare il dispositivo e rimettere in chiaro i dati. Naturalmente oltre a questa aggiunta, l'innovazione prevede anche l'aumento del numero di app finanziarie emulate (più di 2.200), in diverse lingue. 


Come si diffonde questo trojan?
La modalità con la quale si distribuisce è molto semplice perchè utilizza false app di utilità , generalmente imitazioni di Adobe Flash Player oppure giochi.

Come infetta il dispositivo?
Una volta lanciato sul dispositivo (senza che l'utente sia consapevole, spacciandosi appunto per app di utilità), il malware ha bisogno di ottenere i diritti di amministratore: questi vengono richiesti attraverso una finestra che si ripresenta insistentemente fino a che l'utente non accetta la richiesta.
Faketoken, una volta ottenute le necessarie autorizzazioni, ottiene l'accesso alla rubrica dei contatti per effettuare chiamate, per accedere ai file o ai messaggi di testo dell'utente. Richiede inoltre il permesso di mostrare avvisi nelle finestre di altre app (e alla fine questi avvisi diventeranno necessari per sbloccare il telefono) e di essere impostata come app predefinita per la gestione degli sms. 
Fakeston compie anche un'operazione, in fase di installazione, di cui non si è ancora individuata la finalità: crea delle scorciatoie sulla home per accedere ai social e al browser, cancellando i percorsi originali, ma puntando comunque su app legittime.

L'attacco vero e proprio...
Dopo aver ottenuto tutte le autorizzazioni e l'accesso ai dati si passa al vero e proprio furto attraverso dei messaggi fraudolenti tradotti in 77 lingue e scaricati dal server C&C; se si clicca sul messaggio questo porta ad pagina phishing che consente di rubare i dati della carta: per non destare sospetti e sembrare il più reale possibile questa pagina è pensata per essere un'imitazione di quelle per inserire le credenziali di app famose come Gmail o Google play.

La criptazione... 
Per quanto riguarda la fase di criptazione per il momento è noto che Faketoken cifri i dati salvati sulla scheda SD del dispositivo con l'algoritmo simmetrico AES. I file possono essere documenti, immagini, video e audio: in totale colpisce una lista di 89 estensioni differenti. L'estensione che viene aggiunta dal ransomware è .cat. 


Faketoken esegue anche diverse altre azioni malevole:
- intercetta messaggi in entrata
- invia messaggi predefiniti a numeri specifici
- effettua chiamate a numeri specifici
- invia al server C&C la rubrica dei contatti, la lista delle app installate e tutti i messaggi di testo presenti sul dispositivo. 
- scarica file sul dispositivo o disistalla app
- ripristina le impostazioni di fabbrica
- crea notifiche che aprono link dannosi



Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2021 nwk - Privacy Policy - Cookie Policy - Login