Sommario
Il numero di app mobili sta aumentando rapidamente, così come i rischi per la sicurezza. Il trojan di accesso remoto (RAT) TeaBot, emerso all’inizio del 2021 e progettato per rubare le credenziali delle vittime e i messaggi SMS, rimane diffuso. La biometria comportamentale è la chiave per superare la sfida dei progressi del malware mobile.
Nell’ultimo decennio, l’uso dei dispositivi mobili è aumentato esponenzialmente. Ad oggi ci sono circa 5,3 miliardi di utenti unici di telefonia mobile in tutto il mondo, con più del 90% di essi utilizzati per accedere a Internet. Su ogni dispositivo mobile vengono installate circa 40 app, e si prevede che il numero totale di app scaricate superi i 250 miliardi entro la fine dell’anno.
Con la crescita del numero di dispositivi mobili e delle app, cresce anche la diffusione degli attacchi informatici, con i criminali che si concentrano sempre più sulle app bancarie. I metodi di infiltrazione mobile sono diventati sempre più diversi, complessi e hanno la capacità di essere aggiornati, il Trojan RAT TeaBot non è diverso. L’ormai globale TeaBot si è infiltrato in banche, scambi di criptovalute e fornitori di assicurazioni digitali, causando danni ovunque si trovi. La biometria comportamentale, tuttavia, fornisce la chiave per ridurre al minimo il suo rischio.
Ingegneria sociale su mobile
Per la maggior parte, gli attacchi iniziano con sofisticati attacchi di ingegneria sociale per indurre l’utente a scaricare il malware sul suo dispositivo finale. Questi Trojan si presentano spesso sotto forma di e-mail di phishing, messaggi di testo o app fasulle.
Il Trojan poi si installa e permette all’hacker di raccogliere informazioni e caricare altro malware. Gli strumenti di accesso remoto (RAT), per esempio, permettono al criminale di ottenere l’accesso amministrativo del dispositivo e intercettare le credenziali delle app bancarie o anche i codici di accesso monouso.
Secondo la nostra ricerca, 1 caso di frode su 24 ha coinvolto un attacco RAT. Anche gli attacchi HTML overlay sono utilizzati per ottenere dati critici. Nella maggior parte delle situazioni, coloro che utilizzano un’app bancaria sul loro smartphone non sono consapevoli di tali azioni.
TeaBot: la cronaca di un attaccante
Il rilevamento del malware dipendeva tradizionalmente dalle tecnologie antivirus convenzionali che cercano il nome dei file sospetti e controllano regolarmente le app e i loro hash per il malware. Queste strategie, d’altra parte, hanno continuamente colpito i loro limiti negli ultimi anni. Questo perché, al fine di evitare il rilevamento da parte del software antivirus, gli hacker creano malware con un nome di file che cambia costantemente.
L’anno scorso, il malware TeaBot, noto anche come Anatsa in Germania, ha fatto notizia. Gli sviluppatori del codice maligno cercano di ingannare la loro vittima a scaricare il malware mascherandolo come un’app apparentemente innocua. TeaBot è dotato di funzioni RAT ed è disponibile in diverse lingue. Il trojan bancario si diffonde tramite app dannose al di fuori del Play Store – sotto nomi come VLC MediaPlayer, UPS e DHL. Per diffondere il malware in massa, gli hacker utilizzano i cosiddetti attacchi smishing: La loro vittima riceve un SMS con un link all’app e lo usa per scaricare il Trojan. Un altro metodo di distribuzione sono i falsi pop-up attraverso i quali TeaBot viene scaricato e installato, implementandosi come un servizio Android e funziona in background. Questo gli permette di annidarsi permanentemente nel dispositivo finale senza essere rilevato. Dopo il download, acquisisce ampie autorizzazioni e inizia immediatamente la scansione delle applicazioni installate sul dispositivo.
Il trojan TeaBot prende effettivamente il controllo del dispositivo mobile dell’utente controllando in remoto lo smartphone della vittima. Ha la capacità di leggere i messaggi SMS e inoltrarli al server di comando e controllo per aggirare le precauzioni OTP (one-time password). Ottiene le autorizzazioni di accesso per approvare le notifiche e ha funzioni di registrazione, che possono disattivare Google Play Protect e avviare attacchi di overlay. Teabot fa questo caricando una pagina di login appositamente creata per l’applicazione di destinazione dal server di comando e controllo. La pagina di phishing viene posizionata sopra l’app bancaria. Qui, le credenziali dell’utente vengono raccolte utilizzando il keylogging e inoltrate al server di comando e controllo controllato dall’hacker.
TeaBot prende di mira principalmente le app bancarie e di criptovaluta, ma il malware raccoglie anche informazioni da altre app installate.
Per le persone colpite è praticamente impossibile eliminarlo. E può causare molti danni finanziari se un criminale ottiene l’accesso ai dati di login e di conto e può usarli per effettuare trasferimenti.
Biometria comportamentale: rilevare il malware mobile
Un modo per rilevare TeaBot è quello di utilizzare soluzioni basate sulla biometria comportamentale. Con l’aiuto di questa tecnologia, le banche sono in grado di identificare se si tratta di un utente reale che opera il dispositivo o se il dispositivo è controllato dal malware in remoto tramite RAT. Un esempio di come il malware si comporta diversamente da un utente genuino è la velocità di navigazione. Quando hanno il controllo del dispositivo, i truffatori che controllano il dispositivo hanno molta familiarità con il processo di pagamento ed eseguono i pagamenti rapidamente per evitare di essere scoperti dalla vittima.
