Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Trojan bancario Android prende di mira 232 app
- LUNEDÌ 8 GENNAIO 2018


I Security Labs di Quick Heal hanno scoperto un trojan bancario per Android che ha colpito più di 232 app di banking. Il malware è conosciuto come Android.banker.A2f8a (precedentemente rilevato come Android.banker.A9480).

Come molti altri malware bancari, anche questo è progettato per rubare le credenziali di login, dirottare gli SMS, caricare la lista contatti su un server controllato dagli attaccanti, far visualizzare all'utente una schermata sovrapposta alle app legittime in modo da svolgere altre attività dannose.

Vettore di infezione
Android.banker.A2f8a è stato distribuito, negli store non ufficiali, tramite una falsa app di Flash Player. Questo non ci sorprende dato che Adobe Flash è uno dei prodotti più distribuiti su internet e grazie alla sua popolarità e alla sua base di installazione globale è spesso preso di mira dagli hacker.

Analisi tecnica
Dopo l'installazione l'app dannosa, chiede all'utente di consentire i privilegi di amministrazione. Anche se l'utente rifiuta la richiesta o arresta il processo, l'app continuerà a lanciare pop-up in modo da prendere l'utente per sfinimento. Una volta concessi i privilegi l'app nasconde la sua icona appena l'utente ci clicca sopra.



Nel mentre, l'app controlla le altre app installate sul dispositivo della vittima, cercando in particolare 232 app, quasi tutte dedicate al banking e qualcuna al mining e/o gestione di criptovaluta. Se una di queste app viene trovata sul dispositivo infetto, il malware mostra una falsa notifica che sembrerà provenire dall'app di banking. Se l'utente clicca sulla notifica, appare una falsa schermata di login finalizzata al furto dei dati personali dell'utente come l'ID e password.

Durante la nostra analisi abbiamo scoperto che il malware è in grado di ricevere ed elaborare i seguenti comandi dal server C & C:
  • Mandare un SMS (Send_GO_SMS)
  • Raccogliere tutti gli SMS dal dispositivo (GetSWSGO)
  • Caricare la lista di contatti su un server malevolo (nymBePsG0)
  • Mandare SMS a tutti i contatti con i sui comandi come testo (telbookgotext)
  • Mostrare notifiche false (StartAutoPush)
  • Autorizzazione Accessibilità (RequestPermissionInj)
  • Autorizzazione GPS (RequestPermissionGPS)
  • Impostare tutti gli URL null in Preferenze condivise (killBot)
  • Caricare la posizione su un server malevolo (getIP)
  • Inviare una richiesta USSD (ussd)
Ogni volta che il client riceve il comando “startAutoPush” dal server C&C, mostra una notifica falsa con l'icona dell'app mirata (titolo: “Messaggio urgente!”; testo: “Conferma il tuo account”). Cliccando sulla notifica apparirà una falsa pagina di login.


Durante la nostra analisi, il server C & C non era in funzione, pertanto non siamo stati in grado di monitorare l'attività dinamica dell'app.


Il malware può intercettare tutti gli SMS in entrata e in uscita del dispositivo infetto. Ciò consente agli aggressori di aggirare la doppia autenticazione via SMS del conto bancario della vittima. Il malware è inoltre in grado di inviare SMS con un testo e un numero ricevuti dal server.

Ogni volta che il client riceve il comando “GetSWSGO” dal server, raccoglie tutti gli SMS sul dispositivo e li invia a un server malevolo.


Il malware può anche silenziare il dispositivo per sopprimere le notifiche SMS.


Ogni volta che il client riceve il comando  “nymBePsG0” dal server, carica i contatti della vittima sul server malevolo.



Consigli utili
  • Evita di scaricare app da app store di terze parti o link forniti tramite SMS o e-mail.
  • Mantieni sempre le "Origini sconosciute" disabilitate, l'attivazione di questa opzione consente l'installazione di app da fonti sconosciute.
  • La cosa più importante è verificare le autorizzazioni delle app prima di installarle, anche da negozi ufficiali come Google Play.
  • Installa un'app affidabile per la sicurezza mobile, in grado di rilevare e bloccare app false e dannose prima che possano infettare il tuo dispositivo.
  • Mantieni sempre aggiornati il ??sistema operativo del dispositivo e l'app per la sicurezza mobile.
Nota
Adobe Flash Player non è disponibile come app nel Google Play Store.Dalla versione di Android 4.1 è integrato nel browser mobile stesso. Adobe ha anche annunciato che smetterà di aggiornare e distribuire il lettore Flash entro la fine del 2020 in tutti i formati di browser.

App di banking prese di mira
  • sberbankmobile
  • sberbank.spasibo
  • sberbank_sbbol
  • sberbank.mobileoffice
  • sberbank.sberbankir (Sberbank IR)
  • alfabank.mobile.android
  • alfabank.oavdo.amc
  • st.alfa
  • alfabank.sense
  • alfadirect.app (Alfa-Direct)
  • mw (Visa QIWI Wallet)
  • raiffeisennews
  • idamob.tinkoff.android (Tinkoff)
  • tcsbank.c2c (Card 2 Card)
  • tinkoff.mgp (Tinkoff Play: apply for a card)
  • tinkoff.sme
  • tinkoff.goabroad (FSSP FNS Russia)
  • webmoney.my (WebMoney Keeper)
  • rosbank.android (ROSBANK Online)
  • vtb24.mobilebanking.android
  • bm.mbm
  • vtb.mobilebank (VTB Mobile)
  • bssys.VTBClient (Mobile Client VTB)
  • bssys.vtb.mobileclient (MobileClientVTB)
  • simpls.mbrd.ui
  • yandex.money
  • simpls.brs2.mobbank
  • akbank.android.apps.akbank_direkt (Akbank Direkt)
  • akbank.android.apps.akbank_direkt_tablet (Akbank Direkt Tablet)
  • akbank.softotp
  • fragment.akbank
  • ykb.android
  • ykb.android.mobilonay
  • ykb.avm
  • ykb.androidtablet
  • veripark.ykbaz
  • softtech.iscek
  • yurtdisi.iscep
  • softtech.isbankasi
  • monitise.isbankmoscow
  • finansbank.mobile.cepsube
  • enpara
  • magiclick.FinansPOS (FinansPOS)
  • matriksdata.finansyatirim (QNB Finansinvest)
  • enpara.sirketim
  • vipera.ts.starter.QNB (QNB Mobile)
  • redrockdigimark (QNB National Day)
  • garanti.cepsubesi (Garanti Mobile Banking)
  • garanti.cepbank
  • garantibank.cepsubesiro (GarantiBank)
  • matriksdata.finansyatirim (QNB Finansinvest)
  • mobinex.android.apps.cep_sifrematik
  • garantiyatirim.fx (Garanti FX Trader)
  • tmobtech.halkbank (Halkbank Mobil)
  • SifrebazCep
  • newfrontier.iBanking.mobile.Halk.Retail (Halkbank Mobile App)
  • com.tradesoft.tradingsystem.gtpmobile.halk (Halk Trade)
  • DijitalSahne.EnYakinHalkbank (Halkbank Nerede)
  • ziraat.ziraatmobil (Ziraat Mobil)
  • ziraat.ziraattablet (Ziraat Tablet)
  • matriksmobile.android.ziraatTrader (Ziraat Trader)
  • matriksdata.ziraatyatirim.pad (Ziraat Trader HD)
  • comdirect.android (comdirect mobile App)
  • commerzbanking.mobil (Commerzbank Banking App)
  • consorsbank (Consorsbank)
  • db.mm.deutschebank
  • dkb.portalapp (DKB-Banking)
  • de.dkb.portalapp
  • ing.diba.mbbr2 (ING-DiBa Banking + Brokerage)
  • postbank.finanzassistent (Postbank Finanzassistent)
  • santander.de (Santander MobileBanking)
  • fiducia.smartphone.android.banking.vr
  • creditagricole.androidapp
  • axa.monaxa
  • banquepopulaire.cyberplus
  • bnpparibas.mescomptes
  • boursorama.android.clients
  • caisseepargne.android.mobilebanking
  • lcl.android.customerarea
  • paypal.android.p2pmobile
  • wf.wellsfargomobile
  • wf.wellsfargomobile.tablet
  • wellsFargo.ceomobile
  • usbank.mobilebanking
  • usaa.mobile.android.usaa
  • suntrust.mobilebanking
  • moneybookers.skrillpayments.neteller
  • moneybookers.skrillpayments
  • clairmail.fth
  • konylabs.capitalone
  • yinzcam.facilities.verizon
  • chase.sig.android
  • infonow.bofa
  • bankofamerica.cashpromobile
  • co.bankofscotland.businessbank
  • grppl.android.shell.BOS
  • rbs.mobile.android.natwestoffshore
  • rbs.mobile.android.natwest
  • rbs.mobile.android.natwestbandc
  • rbs.mobile.investisir
  • phyder.engage
  • rbs.mobile.android.rbs
  • rbs.mobile.android.rbsbandc
  • co.santander.santanderUK
  • co.santander.businessUK.bb
  • sovereign.santander
  • ifs.banking.fiid4202
  • fi6122.godough
  • rbs.mobile.android.ubr
  • htsu.hsbcpersonalbanking
  • grppl.android.shell.halifax
  • grppl.android.shell.CMBlloydsTSB73
  • barclays.android.barclaysmobilebanking
  • ing.mobile (ING Bankieren)
  • csob.smartbanking
  • sberbankcz (Smart Banking)
  • sporoapps.accounts
  • sporoapps.skener (Platby)
  • cleverlance.csas.servis24 (SERVIS 24 Mobilni banka)
  • westpac.bank,nz.co.westpac
  • com.suncorp.SuncorpBank (Suncorp Bank)
  • stgeorge.bank (St.George Mobile Banking)
  • banksa.bank (BankSA Mobile Banking)
  • com.newcastlepermanent (NPBS Mobile Banking)
  • com.nab.mobile (NAB Mobile Banking)
  • com.mebank.banking (ME Bank)
  • com.ingdirect.android (ING Australia Banking)
  • be (ING Smart Banking)
  • imb.banking2 (IMB.Banking)
  • fusion.ATMLocator (People’s Choice Credit Union)
  • com.cua.mb (CUA)
  • commbank.netbank (CommBank)
  • cba.android.netbank (CommBank app for tablet)
  • citibank.mobile.au (Citibank Australia)
  • citibank.mobile.uk (Citi Mobile UK)
  • citi.citimobile
  • bom.bank (Bank of Melbourne Mobile Banking)
  • bendigobank.mobile (Bendigo Bank)
  • doubledutch.hvdnz.cbnationalconference2016 (CB Conference 2017)
  • com.bankwest.mobile (Bankwest)
  • bankofqueensland.boq (BOQ Mobile)
  • anz.android.gomoney (ANZ goMoney Australia)
  • anz.android
  • anz.SingaporeDigitalBanking
  • anzspot.mobile
  • crowdcompass.appSQ0QACAcYJ (ANZ Investor Tour)
  • arubanetworks.atmanz (Atmosphere ANZ)
  • quickmobile.anzirevents15 (ANZ Investor Relations Events)
  • volksbank.volksbankmobile (Volksbank Banking)
  • fiducia.smartphone.android.banking.vr (VR-Banking)
  • volksbank.android
  • secservizi.mobile.atime.bpaa (Volksbank per tablet)
  • fiducia.smartphone.android.securego.vr (VR-SecureGo)
  • isis_papyrus.raiffeisen_pay_eyewdg (Raiffeisen ELBA)
  • easybank.mbanking (easybank)
  • easybank.tablet (easybank app)
  • easybank.securityapp (easybank Security App)
  • bawag.mbanking (BAWAG P.S.K.)
  • bawagpsk.securityapp (BAWAG P.S.K. Security App)
  • psa.app.bawag (BAWAG P.S.K. SmartPay)
  • pozitron.iscep
  • vakifbank.mobile
  • pozitron.vakifbank
  • starfinanz.smob.android.sfinanzstatus (Sparkasse Ihre mobile Filiale)
  • starfinanz.mobile.android.pushtan (S-pushTAN)
  • entersekt.authapp.sparkasse (S-ID-Check)
  • starfinanz.smob.android.sfinanzstatus.tablet
  • starfinanz.smob.android.sbanking (Sparkasse+ Finanzen im Griff)
  • palatine.android.mobilebanking.prod (ePalatine Particuliers)
  • laposte.lapostemobile (La Poste – Services Postaux)
  • laposte.lapostetablet (La Poste HD – Services Postaux)
  • cm_prod.bad
  • cm_prod.epasal (Epargne Salariale CM)
  • cm_prod_tablet.bad
  • cm_prod.nosactus
  • societegenerale.mobile.lappli
  • bbva.netcash (BBVA net cash)
  • bbva.bbvacontigo (BBVA | Spain)
  • bbva.bbvawallet (BBVA Wallet | Spain)
  • bancosantander.apps (Santander)
  • santander.app (Santander Brasil)
  • cm.android (Bankia)
  • cm.android.tablet (Bankia Tablet)
  • bankia.wallet (Bankia Wallet)
App di criptovaluta prese di mira
Oltre alle app di banking, Android.banker.A2f8a prende di mira anche le seguenti app di criptovaluta.
  • bitfinex.bfxapp (Bitfinex)
  • veken0m.cavirtex (Bitcoinium)
  • brothas.mtgoxwidget (Bitcoin Ticker Widget)
  • master.cointransaction (Bitcoin/Altcoin chart, alarm, ticker)
  • leowandersleb.bitcoinsw (Flux Bitcoin Widget)
  • ozgur.btcprice (Bitcoin Price)
  • coinprices.allexchanges (Crypto Prices All-in-One)
  • blockchain.android (Blockchain – Bitcoin & Ether Wallet)
  • blockchain.merchant (Blockchain Merchant)
  • hyperwallet.wubsprepaid (WUBS Prepaid)
  • blocktrail.mywallet (BTC.com – Bitcoin Wallet)
  • claimyourbits.btcsafari (BTC SAFARI – Free Bitcoin)
  • handyapps.bitcoinpriceiq (Bitcoin Price IQ)
  • schildbach.wallet (Bitcoin Wallet)
  • blockfolio.blockfolio (Blockfolio Bitcoin / Altcoin App)
  • org.freewallet.app (Bitcoin Wallet by Freewallet)
  • bitcoin.crane.money (Bitcoin NewsCrane)
  • coinmarketapp.app (Bitcoin CoinMarketCap.com (unofficial) / Altcoin)
  • coinpayments.coinpaymentsapp (CoinPayments)
  • org.freewallet.app (Bitcoin Cash Wallet by Freewallet)
  • cenci7.coinmarketcapp (CoinMarketCapp – Blockchain Cryptocurrencies)
  • benzneststudios.cryptostory (CryptoStory – Cryptocurrency Portfolio)
  • langerhans.wallet (Dogecoin Wallet)
Altre app prese di mira
  • amazon.mShop.android.shopping (Amazon Shopping)
  • amazon.windowshop (Amazon for Tablets)
  • ebay.mobile (eBay: Buy & Sell. Explore Discount Shopping Deals)
  • airbnb.android (Airbnb)
  • scores365 (365Scores: Sports Scores Live)
  • pyrsoftware.pokerstars.net (PokerStars Poker: Texas Holdem)
  • pokerstars.cebo.psp (PokerStars Play: Free Texas Holdem Poker Game)
  • paster
  • pokerstars.eptguide (PokerStars Live)
  • pkrstrs191 (PKRSTRS Mobile 2Day App)
  • thunkable.android.avenue_mitm.Polonix
  • westernunion.android.mtapp (Western Union US – Send Money Transfers Quickly)
Indicatori di compromissione
Nome dell'app: Flash Player
Nome del pacchetto: yqyJqWdtdf.UOaOrquyRDgLFgGueha
MD5: 29cf5cc309c2e29b6afd63eb5ab8fbd2
Dimensione: 115 KB


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 15 GENNAIO 2018
File Infector: una minaccia costante
Il 2017 è stato l'anno dei ransomware e dei miner di criptovaluta, ma i file infector continuano ad essere una minaccia significativa per gli utenti.Nel 2017, abbiamo oss...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2018 nwk - Privacy Policy - Login