Mobile banking a rischio con il nuovo 'virus' Faketoken
Nel mirino oltre duemila applicazioni: il nuovo 'virus' è in grado di rubare le credenziali delle applicazioni finanziarie per Android. Questi i programmi in cui potrebbe nascondersi il nuovo attacco
Con una modifica, il Trojan Faketoken per il mobile banking è in grado di criptare i dati degli utenti. Nascondendosi in diversi programmi e giochi, tra cui Adobe Flash Player, la versione modificata del Trojan, scoperta dagli esperti di Kaspersky Lab, può anche rubare le credenziali di oltre 2mila applicazioni finanziarie Android. Ad oggi, spiega una nota della società di sicurezza informatica, il Faketoken modificato "ha colpito più di 16mila vittime in 27 Paesi, di cui la maggior parte in Russia, Ucraina, Germania e Thailandia".
La nuova funzionalità di criptazione dei dati sarebbe "inusuale" in quanto solitamente la maggior parte dei ransomware per mobile si concentra sul bloccare i device piuttosto che i dati, poiché questi sono generalmente archiviati sul cloud. Nel caso di Faketoken, i dati - inclusi i documenti e i file media come foto e video - vengono criptati utilizzando un algoritmo simmetrico AES di crittografia che può, in alcuni casi, essere decriptato dall'utente attraverso il pagamento di un riscatto.
Durante il processo di infezione iniziale, il Trojan chiede i diritti di amministratore, il permesso di sovrapporsi ad altre app o di diventare un`applicazione di default per gli sms - spesso lasciando gli utenti con poca o nessuna scelta se non quella di accettare. Tra le altre cose, questi diritti consentono a Faketoken di rubare i dati: sia direttamente, come i contatti e i file, sia indirettamente, attraverso pagine di phishing.
Il Trojan, sottolineano gli addetti ai lavori, è stato creato "per rubare i dati su scala internazionale": una volta acquisiti i diritti necessari, scarica un database dal suo server di comando e controllo contenente frasi in 77 lingue diverse per le differenti localizzazioni dei device. Queste vengono usate per creare messaggi di phishing al fine di ottenere le password degli account degli utenti Gmail. Il Trojan può anche sovrapporsi al Google Play Store, mostrando una pagina di phishing per ottenere le credenziali delle carte di credito degli utenti: può infatti scaricare una lunga lista di applicazioni per colpire, nonché una pagina di template HTML per generare pagine di phishing per le app rilevanti (i ricercatori hanno svelato una lista di 2.249 applicazioni legittime).
La cosa particolare, mettono in evidenza gli esperti della compagnia, è che il Trojan Faketoken modificato tenta anche di sostituire con le proprie versioni gli shortcut di applicazioni per i social media, messaggistica istantanea e browser. La ragione per cui ciò avviene tuttavia non sarebbe ancora chiara poiché le icone di sostituzione conducono alle stesse applicazioni legittime.
