Una banca italiana è stata colpita recentemente da una sofisticata campagna di phishing che ha diffuso il malware EagleSpy sui dispositivi Android. Questo malware è progettato per rubare informazioni sensibili degli utenti attraverso una falsa richiesta di aggiornamento dell’app ufficiale della banca.
La campagna invia e-mail e messaggi che sembrano provenire dalla banca, chiedendo agli utenti di fornire nome, e-mail, codice utente e PIN. Successivamente, le vittime sono indirizzate a scaricare un falso aggiornamento dell’app bancaria, che in realtà installa EagleSpy.
EagleSpy è un tipo di malware chiamato Remote Access Trojan (RAT), che consente agli hacker di accedere da remoto al dispositivo infetto. Questo malware non solo ruba le credenziali d’accesso, ma può anche manipolare lo schermo, intercettare PIN e codici di autenticazione a due fattori(2FA).
Dal punto di vista tecnico, EagleSpy mostra molte somiglianze con un altro malware noto, SpyNote, con cui condivide tecniche di offuscamento delle comunicazioni e permessi di esecuzione, suggerendo che EagleSpy potrebbe essere una sua variante evoluta.
Un dettaglio interessante è che il malware è stato identificato come EagleSpy grazie a una stringa codificata, “RWFnbGVTcHk=”, che codificata in base64 si traduce proprio in “EagleSpy”. Inoltre, l’analisi del malware ha rivelato l’uso di variabili per nascondere i server di comando e controllo, e l’assegnazione di un suffisso univoco a ogni dispositivo compromesso, che in questo caso è “Hacked”. Curiosamente, anche un altro malware, CraxsRAT, utilizza lo stesso suffisso ed è noto per essere coinvolto in frodi bancarie, un collegamento che viene ulteriormente confermato da un video su YouTube che mostra il funzionamento di EagleSpy.
Secondo gli esperti di D3Lab, chiunque sia colpito da EagleSpy rischia di vedere compromessi i propri account bancari e persino le criptovalute. Per proteggersi, raccomandano di evitare di scaricare app da fonti non ufficiali, eseguire scansioni regolari con antivirus affidabili e ignorare e-mail sospette che chiedono l’inserimento di dati sensibili.
