Gli esperti del Microsoft 365 Defender Research Team hanno individuato un nuovo RAT (Remote Access Trojan) per Android che permette di rubare diversi dati dallo smartphone e di intercettare i codici dell’autenticazione in due fattori inviati via SMS. I cybercriminali usano come esca le iniziative avviate dalle banche per fidelizzare i clienti, come raccolta punti, premi e cashback. Gli utenti dovrebbero installare una soluzione di sicurezza che rileva e blocca questo tipo di minaccia.
Riscatta il premio cliccando sul link
La campagna di phishing (smishing per la precisione) prevede l’invio di un SMS che contiene il link al file APK di una presunta app della banca, necessaria per ottenere un premio. L’icona e la schermata di avvio mostrano il logo della banca per ingannare gli utenti. Vengono quindi chiesti i permessi di accesso a contatti, SMS e dispositivo. Per ricevere il premio occorre inserire i dati della carta di credito.
All’insaputa dell’utente, ovvero in background, l’app fasulla esegue una serie di operazioni, tra cui l’invio dei dati raccolti al server C2 (command and control) e l’esecuzione automatica del malware ad ogni riavvio dello smartphone. Il RAT può accedere alla rubrica, alla cronologia delle chiamate e agli SMS. Quest’ultima funzionalità permette ai cybercriminali di intercettare i codici OTP dell’autenticazione in due fattori.
Microsoft consiglia di non installare app tramite file APK (fonti sconosciute) e usare Defender for Ednpoint o altre soluzioni di sicurezza.