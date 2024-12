Fonte: Twitter (@DarkWebInformer)

Un nuovo insidioso attacco informatico sta scatenando il panico non solo tra gli utenti che utilizzano app bancarie ma negli stessi istituti di credito di vari Paesi dell'Unione Europea: il principale responsabile è il trojan ribattezzato col nome di "DroidBot" e scoperto dagli esperti di Cleafy, un virus che prende di mira sistemi Android e viene utilizzato dai cybercriminali come strumento d'accesso a servizi finanziari di vario genere.

Tra i primi a essere presi di mira gli istituti bancari francesi, ma la minaccia si è espansa a macchia d'olio nel Vecchio Continente, colpendo anche in Italia, Spagna, Portogallo e Regno Unito: come detto, non sono solo le banche l'obiettivo degli hacker, ma anche exchange di criptovalute e organizzazioni nazionali.

Anche se l'allarme è scattato verso la fine di ottobre, sulla base delle rilevazioni effettuate da Cleafy, DroidBot è attivo dal mese di giugno di quest'anno: la sua diffusione è imputabile a un gruppo di cybercriminali turchi, o per lo meno così pare di poter supporre sulla base dell'analisi dei nomi dei gruppi affiliati identificati dagli esperti di sicurezza, così come dalle stringhe di debug e dagli stessi file di configurazione.

Il trojan, molto difficile non solo da individuare ma anche da contrastare, viene commercializzato attraverso una piattaforma MaaS ("Malware-as-a-Service") al costo di 3mila dollari al mese, una cifra in apparenza molto elevata ma che in realtà diventa irrisoria dinanzi alle enormi possibilità di guadagno che il malware offre ai propri "clienti", in grado di fare razzia tra i conti correnti di utenti di importanti istituti di credito di tutta Europa. Secondo gli esperti di cybersicurezza di Cleafy, gli abbonati possono disporre di un builder per la personalizzazione del malware, di server C2 di comando e controllo e di un funzionale pannello di amministrazione che consente di tenere sotto controllo le incursioni informatiche, di inviare le istruzioni e ovviamente infine di memorizzare i dati sottratti nell'attacco.

DroidBot, come detto molto difficile da rilevare, si nasconde all'interno delle app bancarie o in quelle di sicurezza in apparenza legittime, e offre a chi lo sfrutta una rosa di efficaci strumenti funzionali a scardinare le difese dei sistemi Android: l'hacker può infatti avere accesso agli Sms, cosa che gli consente di poter ottenere le chiavi del classico sistema di autenticazione a due fattori, può sfruttare il keylogging e sottrarre le credenziali e i dati sensibili inseriti dalla vittima tramite la tastiera, può utilizzare l'overlay, che gli consente di creare pagine di login mendaci che si sovrappongono a quelle legittime, può ottenere gli screenshot dello schermo del dispositivo elettronico e, tramite il modulo VNC, può operare un controllo diretto del device da remoto. Questo elenco è sufficiente per comprendere quanto insidioso sia questo nuovo trojan: secondo Cleafy, DroidBot è in grado al momento di sottrarre le credenziali da ben 77 app, tra cui quelle di Binance, Credem, Kraken, Mediolanum, Banca Sella, Unicredit e Poste Italiane, solo per citare alcune tra le più note.

La domanda che viene spontanea è: "C'è un modo per proteggersi?".

Il sistema più efficace è intervenire alla fonte, ovvero non scaricare o installare sui propri dispositivi elettronici alcun genere di applicazione di dubbia provenienza, limitandosi ai download più affidabili dal Google Play Store: una volta caricato DroidBot sul device, infatti, è quasi impossibile riuscire a individuarlo, vista la perfezione dei cybercriminali nel riprodurre le app bancarie.