I ricercatori di F5 Labs hanno recentemente scoperto un nuovo ceppo di malware Android in grado non solo di esfiltrare credenziali, cookie, dati personali e finanziari ma anche di aggirare i processi di autenticazione a più fattori (2FA/MFA). Obiettivi principali: clienti di servizi bancari online in Italia e in Spagna.
Soprannominato “MaliBot”, questo malware viene distribuito travestendosi da app di mining di criptovalute e attirando le vittime su siti Web fraudolenti in cui vengono indotte a scaricare il malware o inviando direttamente messaggi di phishing SMS (smishing) a numeri di cellulare.
I suoi autori hanno finora creato due campagne, “Mining X” e “TheCryptoApp”, ognuna delle quali ha un sito Web con un collegamento per il download del malware.
La campagna TheCryptoApp cerca di indurre le persone a scaricare il proprio malware invece della legittima app di monitoraggio delle criptovalute TheCryptoApp con oltre 1 milione di download nel Google Play Store. Il link per il download indirizzerà l’utente all’APK del malware solo se la vittima visita il sito Web da un dispositivo Android, altrimenti il link per il download farà riferimento alla vera app TheCryptoApp.
La campagna Mining X invece non si basa su nessuna applicazione reale nel Google Play Store, ma presenta un codice QR che porta all’APK del malware.
MaliBot occasionalmente assume anche altre forme, come “MySocialSecurity” e “Chrome” e include la possibilità di controllare in remoto i dispositivi infetti utilizzando un’implementazione del server VNC.
Le funzionalità di questo malware sono molteplici: attacchi Web injection/overlay, furto di cryptocurrency wallets (Binance, Trust), di codici MFA/2FA, di coockies e di messaggi SMS, possibilità di bypassare l’autenticazione in due passaggi di Google, accesso VNC al dispositivo e screen capturing, possibilità di eseguire ed eliminare applicazioni su richiesta e di inviare messaggi SMS su richiesta, raccolta di informazioni dal dispositivo, inclusi IP, AndroidID, modello, lingua, elenco delle applicazioni installate, schermo, attività telefoniche (chiamate, SMS).
I ricercatori spiegano che il furto delle credenziali spesso non è sufficiente per permettere a un threat actor di accedere all’account di una vittima. Poiché gli account Google sono spesso abilitati con l’autenticazione a più fattori (nota anche come autenticazione a due fattori o, nel caso di Google, verifica in due passaggi), verrà visualizzato un messaggio sui dispositivi della vittima se un dispositivo sconosciuto tenta di accedere. Il messaggio visualizzato chiederà alla vittima di concedere o negare l’accesso, quindi abbinare un numero visualizzato sull’altro dispositivo.
Dopo aver utilizzato MaliBot per acquisire le credenziali, gli aggressori possono autenticarsi agli account Google sul server C2 utilizzando tali credenziali e utilizzare MaliBot per estrarre i codici MFA attraverso i seguenti passaggi:
- Innanzitutto, convalida che la schermata corrente sia una schermata di richiesta di Google
- Utilizzando l’API di accessibilità, il malware fa clic sul pulsante “Sì”.
- L’attaccante registra il codice MFA mostrato sul dispositivo dell’attaccante nel C2.
- Il malware recupera quindi il codice MFA mostrato sul dispositivo dell’attaccante dal C2
- MaliBot quindi fa clic sul pulsante corretto sullo schermo confrontando il valore dei pulsanti con il numero recuperato dal server C2.
“MaliBot è ovviamente una minaccia per i clienti delle banche spagnole e italiane, ma possiamo aspettarci che una gamma più ampia di obiettivi venga aggiunta all’app col passare del tempo. Inoltre, la versatilità del malware e il controllo che offre agli aggressori sul dispositivo significano che, in linea di principio, potrebbe essere utilizzato per una gamma più ampia di attacchi rispetto al furto di credenziali e criptovaluta. Infatti, qualsiasi applicazione che fa uso di WebView è soggetta al furto delle credenziali e dei cookie degli utenti”, concludono gli esperti.
https://www.f5.com/labs/articles/threat-intelligence/f5-labs-investigates-malibot