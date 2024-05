Un nuovo virus che si insinua nello smartphone e svuota i conti bancari. Si tratta di "Brokewell", un malware bancario scoperto dalla società olandese ThreatFabric, che riesce ad entrare nelle app della banca aggirando le restrizioni del sistema operativo Android.

Il trojan, che rischia di mettere in serio pericolo il settore bancario, permette ai cybercriminali di controllare i dispositivi delle vittime, rubando potenzialmente anche dati bancari.

Che cos'è e come funziona

Brokewell è un tipico malware bancario moderno in grado di rubare dati e controllare lo smartphone da remoto.

Si tratta di una famiglia di malware mai vista prima, dotata di un'ampia gamma di funzionalità, che riesce ad aggirare le restrizioni

Brokewell utilizza attacchi overlay, una tecnica comune per il malware bancario Android, che consiste nel sovrapporre una schermata fasulla a una certa applicazione per acquisire le credenziali dell'utente. Può rubare cookie, un'altra caratteristica comune nei moderni malware bancari mobili. Lo fa avviando il proprio WebView, sovrascrivendo il onPageFinishedmetodo e caricando il sito web legittimo. Una volta che la vittima completa il processo di accesso, Brokewell scarica i cookie di sessione e li invia al server di comando e controllo.

Il virus è dotato di "registrazione dell'accessibilità", che tiene traccia di tutto ciò che accade sul dispositivo: tocchi, scorrimenti, informazioni visualizzate, immissione di testo e applicazioni aperte. Tutte le azioni vengono registrate e inviate al server di comando e controllo, rubando di fatto tutti i dati riservati visualizzati o immessi sul dispositivo compromesso.

Nessuna app è al sicuro se il virus si insinua nello smartphone: i cybercriminali hanno il pieno controllo del dispositivo infetto e possono eseguire azioni per conto della vittima. Questo malware supporta anche una serie di funzionalità "spyware" : può raccogliere informazioni sul dispositivo, la cronologia delle chiamate,la geolocalizzazione e la registrare audio.

I precedenti attacchi dei malware prendevano di mira un popolare servizio finanziario "acquista ora, paga dopo" e un'applicazione di autenticazione digitale austriaca.

Come si evolveranno i malware

Sempre più cybercriminali acquisiranno la capacità di aggirare le restrizioni di Android 13+ suggerendo che questa potrebbe diventare una funzionalità regolare per la maggior parte delle famiglie di malware mobile, simile alla lettura dei messaggi sms.

Threatfabric scrive «prevediamo un'ulteriore evoluzione di questa famiglia di malware, poiché abbiamo già osservato aggiornamenti quasi quotidiani del malware. Brokewell verrà probabilmente promosso sui canali clandestini come servizio di noleggio, attirando l'interesse di altri criminali informatici» e innescando nuove truffe.

Un'ulteriore analisi del profilo del "Barone Samedit" rivela che i malware sono attivi da almeno due anni. Tuttavia, l'autore aveva precedentemente fornito strumenti ad altri criminali informatici per controllare gli account rubati da più servizi. Con l'introduzione del "Brokewell Android Loader" e la sua disponibilità al pubblico, "Baron Samedit" è passato al malware mobile, dimostrando il crescente interesse dei criminali informatici in questo settore.

Infine, molti cybercriminali cercano di "professionalizzare" le loro attività illegali creando pagine di destinazione per i loro "prodotti", come nel caso del "Hadoken Security Group".

Come difendersi

Di fronte a determinti pericoli informatici è importante mantenere elevata la propria attenzione quando si è online. Nel caso specifico della famiglia di malware Brokewell bisogna fare attenzione alla pagina che invita a installare un aggiornamento di Chrome che, pur essendo molto simile a una schermata di update autentica, è in realtà falsa. Qualora si premesse sul pulsante di download disponibile nella schermata fasulla si andrebbe a scaricare l'applicazione appartenente alla famiglia di malware di cui abbiamo parlato finora, invece dell'aggiornamento di Chrome. È tramite la pagina in questione, infatti, che il proprio dispositivo viene infettato.

Per evitare il contagio è quindi essenziale aggiornare Chrome dal Play Store anziché da fonti esterne (questo discorso, naturalmente, vale per qualsiasi altra app) e mantenere attivo sul proprio dispositivo Play Protect, ovvero il meccanismo di sicurezza integrato in Android.