È stato scoperto un nuovo trojan bancario per Android chiamato GoldDigger, che prende di mira diverse applicazioni finanziarie con l’obiettivo di sottrarre fondi alle vittime e inserire dispositivi infetti in una rete di botnet.
Sfortunatamente queste tipologie di attacchi sono sempre più frequenti negli ultimi tempi, come i casi Zanubis e Nexus.
GoldDigger, da dove viene e perché è stato creato
“Il malware prende di mira più di 50 applicazioni bancarie, e-wallet e crypto wallet vietnamite“, hanno dichiarato gli esperti di Group-IB. “Ci sono indicazioni che questa minaccia [informatica] potrebbe essere pronta a estendere la sua portata anche alle regioni dell’Asia-Pacifica e ai paesi di lingua spagnola“.
Il malware è stato rilevato per la prima volta dalla società con sede a Singapore nel agosto 2023, anche se ci sono prove che suggeriscono che sia attivo sin dal giugno 2023.
Sebbene non sia attualmente noto quante siano di preciso le infezioni in giro per il mondo, le applicazioni maligne si è scoperto che fanno finta di essere un portale governativo vietnamita e una società energetica per richiedere autorizzazioni invasive al fine di raggiungere i suoi obiettivi di raccolta dati, cosa che in gergo hacking si chiama “fake login“.
Questo include principalmente l’abuso dei servizi di accessibilità di Android, che sono destinati ad assistere gli utenti disabili nell’uso delle app, il tutto con lo scopo di interagire con le app prese di mira dagli hacker ed estrarre informazioni personali, rubare le credenziali delle app bancarie, intercettare messaggi SMS e compiere varie azioni dell’utente.
Il concedere autorizzazioni al malware consente anche di ottenere una visibilità completa sulle azioni dell’utente, sostanzialmente di spiare quel che l’utente fa online, in questo caso cose come visualizzare il saldo del conto bancario, catturare i codici di autenticazione a due fattori (2FA) e registrare i tasti premuti, oltre a facilitare l’accesso remoto al dispositivo.
La serie di attacchi che mette in giro il malware GoldDigger sfrutta siti web falsi che fingono di essere pagine del Google Play Store e siti web aziendali (ovviamente fasulli) in Vietnam, aumentando la possibilità che questi link siano diffusi alle vittime attraverso tattiche di smishing o phishing tradizionali.
Tuttavia, il successo della campagna di attacco hacker dipende dall’abilitazione dell’opzione “Installa da fonti sconosciute” per consentire l’installazione di app arbitrarie disponibili al di fuori del negozio ufficiale (sì, serve paradossalmente un minimo di conoscenza di Android per cascarci).
GoldDigger è uno dei numerosi trojan bancari per Android emersi solo negli ultimi mesi e si aggiunge a un numero già elevato di strumenti simili attualmente in circolazione per la rete.
“Una delle principali caratteristiche di GoldDigger è l’uso di un meccanismo di protezione avanzato“, ha reso noto l’azienda di sicurezza informatica Group-IB in un suo recente rapporto.
“Virbox Protector, un software legittimo identificato in tutti i campioni scoperti di GoldDigger, consente al trojan di complicare notevolmente l’analisi del malware sia statica che dinamica ed evitare la rilevazione. Ciò rappresenta una sfida nel provocare attività dannose in sandbox o emulatori“.
Conclusione
Anche se questa cosa ha colpito paesi della parte pacifica del continente asiatico ciò non toglie che cose simili avvengano anche da noi, va bene scaricare da fonti sconosciute su Android ma occhio sempre alla fonte, dato che non tutte le fonti sono sicure.