Messaggio falso che ruba tutti i dati
Una potente forma di malware per Android che può rubare dati bancari, informazioni personali, comunicazioni private e altro ancora è tornata con una nuova campagna che si diffonde attraverso attacchi di phishing via SMS.
Il malware FakeSpy è attivo dal 2017, inizialmente rivolto agli utenti in Giappone e Corea del Sud, ma ora sta prendendo di mira gli utenti Android in tutto il mondo - con attacchi personalizzati progettati per attirare gli utenti in Asia, Europa e Nord America.
L'ultima campagna FakeSpy è stata dettagliata dai ricercatori della sicurezza informatica di Cybereason, che affermano che gli attacchi sono collegati a 'Roaming Mantis', un'operazione cyber-criminale di lingua cinese che ha gestito campagne simili.
FakeSpy è descritto come "sviluppo attivo" e "in rapida evoluzione" con una nuova versione del malware rilasciata ogni settimana, completa di nuove capacità e tecniche di evasione.
Il malware serve come furto di informazioni, utilizzato per rubare messaggi SMS, informazioni finanziarie, informazioni su applicazioni e conti, leggere liste di contatti e altro ancora.
L'ultima campagna è molto diffusa e si rivolge agli utenti di Cina, Taiwan, Francia, Svizzera, Germania, Regno Unito, Stati Uniti e altri paesi, ma il metodo di installazione per ogni paese è un messaggio di phishing che dichiara di riferirsi a un pacco mancante di un servizio postale o di consegna locale.
Un link di phishing nel messaggio di testo indirizza gli utenti verso un sito web falso che dice loro di scaricare un'applicazione mascherata da servizio postale locale. Ad esempio, gli utenti del Regno Unito vengono istruiti a scaricare una versione falsa appositamente progettata dell'applicazione Royal Mail, mentre i destinatari negli Stati Uniti vengono indirizzati a un sito per scaricare un'applicazione falsa del servizio postale statunitense.
Anche i marchi tedeschi Deutsche Post, La Poste francese, Japan Post, Swiss Post e Chughwa Post di Taiwan vengono falsificati dai truffatori.
Le applicazioni false sono costruite utilizzando WebView e progettate per assomigliare a quelle reali. Dopo che l'applicazione è stata scaricata - il che richiede all'utente di consentire l'installazione da fonti sconosciute - la pagina falsa viene reindirizzata al sito web legittimo nel tentativo di aiutare la vittima a smettere di essere sospettosa su ciò che ha appena scaricato
Il malware chiede anche una serie di autorizzazioni necessarie per il suo funzionamento - ma dato il numero così elevato di applicazioni legittime che richiedono comunque un uso esteso del dispositivo, è improbabile che la vittima ci ripensi.
Una volta installato, FakeSpy può monitorare il dispositivo per rubare varie forme di informazioni, tra cui il nome, il numero di telefono, i contatti, i dettagli del portafoglio bancario e di criptovaluta, oltre a monitorare i messaggi di testo e l'utilizzo delle applicazioni.
FakeSpy sfrutta l'infezione anche per diffondersi, inviando il messaggio di phishing a tema postale a tutti i contatti della vittima, indicando che non si tratta di una campagna mirata, un'operazione cyber-criminale guidata finanziariamente che cerca di diffondersi il più possibile con l'obiettivo di guadagnare il più possibile dalle informazioni bancarie rubate e da altre credenziali personali.
"Abbiamo l'impressione che questo attacco sia quello che spesso chiamiamo "spruzzare e pregare". Non credo che siano rivolti a un individuo in particolare, ma invece gli attori della minaccia tentano la fortuna, lanciando una rete piuttosto ampia, e aspettando che qualcuno abbocchi".
"Vediamo sempre nuovi sviluppi e nuove funzionalità aggiunte al codice, quindi la mia ipotesi è che gli affari vadano bene per loro", ha aggiunto.
FakeSpy è stata attiva negli ultimi tre anni e continua a rappresentare una minaccia per gli utenti Android man mano che si evolve e cambia.
Tuttavia, nonostante la natura potente del malware, gli utenti possono evitare di caderne vittime essendo estremamente cauti nei confronti di messaggi inaspettati, soprattutto quelli che affermano di provenire da organizzazioni che chiedono all'utente di cliccare su un link o di scaricare qualcosa - poiché è probabile che si tratti di un attacco di phishing.
"Gli utenti dovrebbero applicare un pensiero critico ed essere sospettosi nei confronti dei messaggi SMS contenenti link. Se cliccano su un link, devono controllare l'autenticità della pagina web, cercare errori di battitura o nomi di siti web sbagliati e, soprattutto, evitare di scaricare applicazioni da negozi non ufficiali", ha detto Dahan.
"Eliminare l'applicazione falsa attraverso l'application manager è un buon modo per mitigare questa minaccia. Inoltre, avere una soluzione di sicurezza mobile può rilevare e porre rimedio alla minaccia", ha aggiunto.
spero che questo articolo vi sia piaciuto e ci vedremo ad prossimo articolo.
