Gli esperti di Cleafy hanno individuato un nuovo trojan bancario per Android, denominato DroidBot, che ignoti cybercriminali turchi hanno utilizzato per rubare le credenziali di app bancarie e wallet di criptovalute. Tra i paesi più colpiti ci sono Italia, Francia, Regno Unito, Spagna e Portogallo.
Furto di dati da 77 app
In base alle rilevazioni di Cleafy, DroidBot è attivo da giugno 2024. Viene offerto tramite una piattaforma MaaS (Malware-as-a-Service) al prezzo di 3.000 dollari/mese. Agli abbonati vengono forniti un builder per la personalizzazione del malware, i server C2 (command and control) e un pannello di amministrazione per monitorare gli attacchi, inviare comandi e ricevere i dati rubati.
Il trojan viene nascosto in app bancarie, Google o di sicurezza simili a quelle legittime. Ovviamente sfrutta i servizi di accessibilità per eseguire varie operazioni sul dispositivo Android. Le funzionalità principali sono: accesso agli SMS per leggere i codici dell’autenticazione in due fattori, keylogging (furto di credenziali e altri dati inseriti dall’utente), overlay (visualizzazione di schermate di login fasulle su quelle legittime), cattura screenshot dello schermo e modulo VNC per il controllo remoto.
Gli esperti di Cleafy hanno individuato 776 dispositivi infetti. Il malware può rubare le credenziali di login da 77 app, tra cui quelle di BBVA, Binance, Credem, Kraken, Mediolanum, Banca Sella, Unicredit e Poste Italiane.
I consigli sono sempre gli stessi: installare le app solo dal Google Play Store, fare attenzione ai permessi e attivare Google Play Protect.
Ti potrebbe interessare
5 dic 2024