lunedì 19 marzo 2012

Phishing su dispositivi mobili attraverso l'uso di malware evoluto (19 marzo)

La grande diffusione di dispositivi mobili sempre piu' sofisticati sta portando, come era prevedibile, ad un notevole aumento di malware.
Se sino a poco tempo fa si trattava di applicazioni che di solito cercavano di generare un profitto finanziario a chi le gestisce attraverso, ad esempio, l'invio di messaggi SMS a numeri a prezzo maggiorato senza il consenso dell'utente, la tendenza che sta guadagnando popolarita' e' l'attacco al Mobile Banking.
Attualmente, la maggior parte dei grandi istituti bancari forniscono la possibilita' di accedere on-line ed effettuare varie operazioni ai titolari di un conto bancario e, come conseguenza di questo, vediamo un nuovo sviluppo di malware dal comportamento 'evoluto'
Si tratta di una azione combinata di phishing e di modalita' simili a malware gia' noto che crea notevoli rischi per un utente di Mobile Banking che cadesse nel tranello della falsa applicazione.

E' il caso di questa segnalazione apparsa sul blog McAfee che descrive nei dettagli un malware fatto passare per generatore di token “One Time Password”

La pericolosita' di questo malware sta nel combinare sia caratteristiche del piu' noto phishing con funzionalita' malware che vanno sia dall'acquisizione di codici di accesso al conto, di caratteristiche man-in-the-e-middle attack, sino alla possibilita' di connettersi a server remoto di controllo da cui ricevere 'comandi' ed anche probabili aggiornamenti del malware.(cosa che ci ricorda per certi versi i PC compromessi facenti parte di botnet)

Vediamo alcuni dettagli come illustrati nel post sul blog di McAffe.

L'applicazione malevola utilizza logo e colori simili ai reali dei piu' noti istituti bancari a diffusione europea aumentando quindi l'effetto phishing, cosa che si accentua ancora di piu' quando l'applicazione viene eseguita e presenta un layout simile ad un generatore di tokens di dispositivo OTP con i loghi di banche note.

Esisterebbero diverse versioni del malware ma con layout mirati a differenti istituti bancari.
Per generare il falso token (un numero casuale) l'utente deve inserire il primo codice di accesso al conto bancario.
Se questa azione non viene eseguita il malware genera un messaggio di errore.
Una volta cliccato sul pulsante 'Generar' viene quindi mostrato un numero casuale (falso token) ed il software invia la password digitata ad uno specifico numero di cellulare compresi gli identificativi del dispositivo (IMEI e IMSI).
La stessa informazione viene anche inviata ad uno dei server di controllo gestiti da chi distribuisce il codice malevolo, insieme con ulteriori dati come il numero di telefono del dispositivo.
L'elenco dei server di controllo vene trovato dal malware in un file XML all'interno del APK malevola originale.
Queste informazioni, insieme ad altri parametri del malware, vengono caricati e memorizzati in un file XML all'interno del dispositivo.
Attraverso l'utilizzo di questi dati il malware ascolta quindi i messaggi SMS inviati agli utenti ed intercetta eventuali codici originali delle transazioni mobili che vengono inviati dall'istituto finanziario (man-in-the-e-middle attack). I codici vengono poi inviati al server di controllo,
Inoltre al momento dell'installazione della applicazione maligna sul dispositivo mobile viene creato e programmato un evento di sistema che generera' ulteriori comportamenti malevoli.
Il momento temporale in cui si verifichera' questo evento dipende da diversi valori definiti in un file di configurazione (Time Connection, ecc.......).
Quando questo accade, un servizio in background si avvia che crea ed esegue un thread che ascolta i comandi inviati dal server di controllo.
In pratica il software richiede al server di controllo diversi dati che possono essere sia aggiornamenti sulla sua configurazione, l'elenco dei server, il numero telefonico utilizzato per ricevere eventuali codici ottenuti filtrando gli sms in arrivo dalla banca e la password iniziale.
Tuttavia, ci sono altri comandi interessanti che aggiungono auto-update o capacita' di spyware al malware:

SendContactList: Ottiene l'elenco dei contatti memorizzati nel dispositivo (nome e numero) e utilizza un framework open-source per serializzare l'elenco dei contatti per inviarli al server di controllo.
UpdateURL: contiene l'URL da cui scaricare un ulteriore software, (file APK) nella cartella di download della scheda SD.
Il file APK potrebbe essere un aggiornamento del malware stesso o un'altra applicazione dannosa. Una volta che l'APK e' stato scaricato, un'interfaccia utente personalizzata viene caricato con il testo e il titolo inviati dal server di controllo, per ingannare l'utente ed invogliarlo ad installare la nuova applicazione malevola.

Come si vede un malware dai comportamenti complessi che cerca di superare le varie contromisure prese dalle banche per proteggere gli accessi degli utenti ai propri conti on-line

Sembra quindi che nel futuro assisteremo sempre di piu' a questo genere di attacchi malware ( chiaramente non limitato a sole applicazioni Android) visto che nelle ultime settimane i ricercatori hanno scoperto operazioni di frode che usano il malware ad esempio per reindirizzare le chiamate in entrata da parte di banche e persino per clonare i dati della scheda SIM.

Qui trovate il post originale in inglese relativo all'argomento trattato.

Edgar

Nessun commento: