A rischio dati e app finanziarie Android a causa del Trojan Faketoken

Naviga SWZ: Home Page » News
News del 22 Gennaio 17 Autore: Stefano Fossati
Oltre 2mila applicazioni finanziarie Android nel mirino del trojan Faketoken per il mobile banking: una versione modificata, scoperta dagli esperti di Kaspersky Lab, è in grado di criptare i dati degli utenti e rubare le credenziali di applicazioni finanziarie nascondendosi in diversi programmi e giochi, tra cui Adobe Flash Player. Ad oggi, fa sapere la società di sicurezza informatica il Faketoken modificato ha colpito più di 16mila dispositivi in 27 Paesi, in particolar modo in Russia, Ucraina, Germania e Tailandia.

Secondo i ricercatori, la funzionalità di criptazione dei dati è inusuale in quanto si solito la maggior parte dei ransomware per mobile si concentra sul blocco del device piuttosto che sui dati, che generalmente sono archiviati sul cloud: nel caso di Faketoken, ai dati – inclusi documenti e file multimediali come foto e video – viene applicato un algoritmo simmetrico AES di crittografia che può, in alcuni casi, essere decriptato dall’utente attraverso il pagamento di un riscatto. Durante il processo di infezione iniziale, il trojan chiede i diritti di amministratore, il permesso di sovrapporsi ad altre app o di diventare un’applicazione di default per gli sms, in molti casi lasciando agli utenti poche o nessuna scelta se non quella di accettare. Tra le altre cose, questi diritti consentono a Faketoken di rubare i dati sia direttamente, come nel caso di contatti e file, sia indirettamente, attraverso pagine di phishing.

A rischio dati e app finanziarie Android a causa del Trojan Faketoken - immagine 1

Il trojan, spiegano gli esperti di Kaspersky, è stato creato per rubare i dati su scala internazionale: una volta acquisiti i diritti necessari, Faketoken scarica un database dal suo server di comando e controllo contenente frasi in 77 lingue diverse per le differenti localizzazioni del sistema operativo del dispositivo, quindi mostra messaggi di phishing allo scopo di ottenere le password degli account degli utenti Gmail. Il trojan può anche sovrapporsi al Google Play Store, mostrando una pagina di phishing per ottenere le credenziali delle carte di credito degli utenti: può infatti scaricare una lunga lista di applicazioni per colpire le sue vittime, nonché una pagina di template HTML per generare pagine di phishing per le app più diffuse. I ricercatori di Kaspersky Lab hanno rilevato ben 2.249 applicazioni legittime utilizzare come “paravento” dai cybercriminali per diffondere Faketoken. Fra l’altro il traojan tenta anche di sostituire con le proprie versioni gli shortcut di applicazioni per social media, messaggistica e browser, ma i ricercatori non sono ancora riusciti a chiarirne le ragioni, dal momento che le nuove icone conducono alle stesse applicazioni legittime.

A rischio dati e app finanziarie Android a causa del Trojan Faketoken - immagine 2

“L’ultima modifica del Trojan Faketoken per mobile banking è interessante perché alcune delle nuove funzionalità sembrano garantire benefici aggiuntivi limitati per i cybercriminali. Questo non significa che non vadano presi sul serio. Potrebbero essere semplicemente una base per sviluppi futuri o rivelare le innovazioni continue di una famiglia di malware di successo e sempre in evoluzione. Facendo conoscere la minaccia, possiamo neutralizzarla e aiutare a tenere utenti, device e dati al sicuro”, spiega Roman Unuchek, Senior Malware Analyst di Kaspersky Lab. La società ha individuato diverse migliaia di pacchetti di installazione Faketoken in grado di criptare i dati, il primo dei quali risale allo scorso luglio: i suoi prodotti sono in grado di rilevare tutte le modifiche di questa famiglia di malware.

Per proteggersi dagli attacchi del trojan Faketoken e dalle altre minacce malware, l’azienda consiglia come sempre agli utenti Android di assicurarsi che tutti i dati siano stati archiviati, non acconsentire automaticamente al trattamento di diritti e permessi quando le app lo richiedono (è sempre bene accertarsi di cosa viene chiesto e perché, anche quando si installano app apparentemente “affidabili”), installare una soluzione antimalware sui dispositivi e installare gli aggiornamenti del sistema operativo ogni qual volta siano disponibili, dal momento che Google e i produttori dei device introducono costantemente correttivi per “chiudere la porta” alle nuove minacce di recente scoperta.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

NOTIZIE CORRELATE