I trojan bancari sono una minaccia sempre più pericolosa e sempre più diffusa, in special modo su device mobile e in particolare su Android, basti ricordare LokiBot e Red Allert, solo per citarne alcuni. C’è poco da sorprendersi, dunque, se nel corso delle ultime ore ha cominciato a far parlare nuovamente di sé BrazKing, un malware destinato alla piattaforma mobile del “robottino verde” e appartenente proprio alla categoria in questione.
I ricercatori di IBM, infatti, hanno individuato una nuova variante del già noto BrazKing, al di fuori del Play Store di Google, su siti Internet verso cui gli utenti vengono indirizzati dopo aver selezionato appositi link ricevuti a mezzo SMS.
BrazKing: come agisce il troajn bancario
I siti in questione, che peraltro sfruttando il protocollo HTTPS presentandosi apparentemente come sicuri, avvertono la potenziale vittima che stanno utilizzando una versione di Android obsoleta e offrono un APK che viene spacciato come utile per effettuare l’aggiornamento.
Se l’utente approva il download e l’installazione del pacchetto APK “incriminato”, il malware si insedia sul dispositivo e richiede l’autorizzazione per poter accedere ai servizi di accessibilità, in modo tale da poter acquisire schermate e sequenze di tasti senza richiedere autorizzazioni aggiuntive che rischierebbero di destare sospetti.
Il trojan sfrutta poi l’autorizzazione concessa dall’utente per leggere le informazioni presenti sullo schermo e captare i tasti premuti, manipolare l’app bancaria, leggere gli SMS e accedere ai contatti in rubrica, rubando quindi i dati sensibili dell’utente, utili per accedere a conti in banca, gestire carte di credito ecc.
Diversamente dalla variante precedente del virus, quella attualmente in azione protegge le risorse interne applicando un’operazione XOR tramite una chiave codificata, provvedendo poi a codificarle anche in Base64.
L’evoluzione di BrazKing dimostra che i malintenzionati che si occupano di creare malware lavorano costantemente per cercare di elaborare varanti sempre più “intelligenti” dei loro strumenti man mano che vengono implementate nuove funzioni di sicurezza su Android, che, ad esempio, a partire dalla versione 11 è in grado di segnalare le app che accedono alle informazioni sensibili contrassegnandole come dannose.