Un trojan banker attacca dispositivi mobili con giochi hackerati

26 maggio 2016

Gli analisti dei virus Doctor Web registrano continuamente i casi di diffusione di vari trojan-banker progettati per l'infezione di dispositivi mobili SO Android. Non è un segreto che i criminali informatici cerchino di travestire tali applicazioni malevole come programmi innocui e utili. In modo simile viene distribuito anche il banker Android.BankBot.104.origin che gli autori del virus presentano alle potenziali vittime come software per l'hacking di popolari giochi mobili e anche come programmi per i cheat.

I criminali informatici intraprendenti hanno rivolto la loro attenzione a quegli appassionati di giochi mobili che cercano di avere tutto e subito senza pagare e fare sforzi. In particolare, quando gli utenti cercano di trovare nei motori di ricerca popolari le informazioni sui cheat che facilitano l'avanzamento in un gioco – per esempio permettono di ottenere gli infiniti oro, cristalli e altra moneta di gioco – o semplicemente vogliono scaricare una versione violata dell'applicazione di gioco prediletta, nei risultati della ricerca alle potenziali vittime vengono mostrati i link di tanti siti web fraudolenti, appositamente creati per quelli che vogliono avere tutto gratis.

 

I siti web malevoli contengono le informazioni su oltre 1000 vari giochi popolari, perciò cercando qualsiasi gioco conosciuto gli utenti sicuramente vedranno le offerte dei malintenzionati nelle prime righe dei risultati dei motori di ricerca. Va notato che questi siti hanno una firma digitale valida e di conseguenza tante potenziali vittime possono considerarli sicuri.

Se il proprietario del dispositivo mobile prova a scaricare un'applicazione da questi siti, viene reindirizzato su un altro sito fraudolento da cui sul dispositivo viene scaricato il trojan banker Android.BankBot.104.origin con il pretesto di software hackerati o programmi per i cheat. Oltre a questo trojan, sugli smartphone e sui tablet possono essere scaricati anche altri programmi malevoli, in particolare quelli appartenenti alla famiglia di banker Android.ZBot.

Il trojan Android.BankBot.104.origin distribuito dai malintenzionati è protetto tramite un programma di compressione che riduce la probabilità di rilevamento da parte degli antivirus e ostacola l'analisi. Una delle sue versioni recenti viene rilevata dai prodotti antivirus Dr.Web per Android come Android.BankBot.72, ma gli autori del virus creano di continuo nuove versioni del banker nuovamente compresse, perciò l'applicazione malevola può essere rilevata anche sotto altri nomi. Il malware Android.BankBot.104.origin è una versione offuscata del trojan bancario Android.BankBot.80.origin – il suo codice è gravemente criptato, il che anche serve a complicare l'analisi e il rilevamento da parte dei software di sicurezza.

Android.BankBot.104.origin viene installato sugli smartphone e sui tablet Android come un'applicazione con il nome "HACK" e dopo l'avvio cerca di ottenere l'accesso alle funzioni di amministratore del dispositivo. Quindi il trojan elimina la sua icona dall'elenco delle applicazioni sulla schermata principale, cercando di nascondersi all'utente.

 

In seguito il trojan inizia a svolgere direttamente le sue attività malevole. In particolare, cerca di determinare se la vittima usa un servizio di mobile banking e anche se ha qualche conto in contanti disponibile. A tale scopo l'applicazione malevola invia messaggi sms con specifici comandi ai numeri dei sistemi di banking corrispondenti. Se Android.BankBot.104.origin scopre denaro, prova a trasmetterlo impercettibilmente sui conti dei malintenzionati.

In seguito il trojan inizia a svolgere direttamente le sue attività malevole. In particolare, cerca di determinare se la vittima usa un servizio di mobile banking e anche se ha qualche conto in contanti disponibile. A tale scopo l'applicazione malevola invia messaggi sms con specifici comandi ai numeri dei sistemi di banking corrispondenti. Se Android.BankBot.104.origin scopre denaro, prova a trasmetterlo impercettibilmente sui conti dei malintenzionati.

Gli specialisti Doctor Web consigliano ai giocatori di non cercare versioni violate di giochi e di applicazioni Android e di non installare programmi non attendibili sui dispositivi mobili in quanto un tentativo di risparmio di una piccola somma può comportare la perdita di tutti i soldi sui conti bancari. I prodotti antivirus Dr.Web per Android rilevano ed eliminano con successo le versioni conosciute dei trojan sopracitati, perciò tali malware non rappresentano alcun rischio alla sicurezza dei nostri utenti.

© "Doctor Web"
2003 — 2024

Doctor Web è un’azienda russa per la sicurezza informatica, produttrice degli antivirus “Dr.Web”. I nostri prodotti, sviluppati fin dal 1992, sono capaci di soddisfare un’esigenza essenziale dell’impresa odierna — quella della sicurezza dell’informazione. Doctor Web è un’azienda all’avanguardia nel suo settore anche perché siamo uno dei pochi fornitori di antivirus nel mondo che possiedono tecnologie di rilevamento e trattamento di programmi malevoli proprie. Il sistema di protezione antivirale Dr.Web consente ai sistemi d’informazione dei nostri clienti di resistere validamente a qualsiasi minaccia informatica, persino a quelle ancora sconosciute. Doctor Web è stata la prima azienda che ha lanciato sul mercato russo il modello innovativo di distribuzione dell’antivirus come servizio e oggi è il leader incondizionato del mercato dei web service di sicurezza forniti ai venditori dei servizi IT. I programmi Dr.Web, creati da esperti programmatori russi, hanno acquistato la fiducia degli utenti in diversi paesi del mondo e hanno ricevuto molteplici premi e certificati di approvazione dello stato grazie alla loro elevata qualità.

Altre risorse:
www.drweb.com – il sito ufficiale dell'azienda "Doctor Web"
www.av-desk.com – il sito del progetto Dr.Web AV-Desk