Nuovo RAT che ruba credenziali bancarie Android mascherato da Google Service Framework

Il malware Android sta lentamente e costantemente prendendo piede rispetto al malware per PC. La società di sicurezza FireEye ha identificato un nuovo malware Android che si maschera da “Google Service Framework” e ruba le credenziali bancarie degli utenti Android. Ciò che rende unico il malware, che è un RAT (Remote Access Tool), è che utilizza il Google Service Framework per uccidere effettivamente le app antivirus in esecuzione sugli smartphone e tablet Android.

FireEye afferma che la scoperta di questo HijackRAT che ruba credenziali bancarie potrebbe essere un segno di minacce bancarie più focalizzate su Android in futuro da parte del suo sviluppatore. FireEye ha dichiarato nel post del blog,

“In passato, abbiamo visto malware Android che esegue il furto di credenziali bancarie, perdite di privacy o accesso remoto separatamente, ma questo campione porta il malware Android a un nuovo livello combinando tutte queste attività in un’unica app. Inoltre,” hanno continuato, “abbiamo scoperto che l’hacker ha progettato un framework per condurre il dirottamento bancario ed è attivamente sviluppando verso questo obiettivo. Sospettiamo che nel prossimo futuro ci sarà un lotto di malware per dirottamento bancario una volta completato il framework. Al momento, otto banche coreane sono riconosciute dall’attaccante, ma l’hacker può rapidamente espandersi a nuove banche con solo 30 minuti di lavoro.”

FireEye ha testato questo malware con otto app bancarie coreane e ha scoperto che, una volta installato il malware sul dispositivo, il server di comando e controllo invia un comando per sostituire le app bancarie esistenti. Le app bancarie Android richiedono l’installazione di ‘com.ahnlab.v3mobileplus’, un’app antivirus disponibile su Google Play. FireEye ha notato che, dopo l’installazione, HijackRaT ha ucciso l’applicazione antivirus e poi ha proceduto a sostituire l’app bancaria. Questo comportamento consente al RAT di evitare il rilevamento post-installazione sia dall’app AV che dall’utente Android, che è sotto l’impressione che l’app bancaria che sta utilizzando sia genuina.

• Spiegando il modus operandi di questo RAT, il blog dice,

“Il nome del pacchetto di questo nuovo malware RAT (remote access tool) è “com.ll” e appare come “Google Service Framework” con l’icona Android predefinita, gli utenti Android non possono rimuovere l’app a meno che non disattivino i suoi privilegi amministrativi in ‘Impostazioni.’ Finora, il punteggio di Virus Total del campione è solo di cinque rilevamenti positivi su 54 fornitori di AV. Tale nuovo malware viene pubblicato rapidamente in parte perché il server CNC, che l’hacker utilizza, cambia così rapidamente.”

Il funzionamento del malware è descritto in un’analisi dettagliata sul blog di FireEye, tuttavia cerchiamo di spiegare brevemente il suo funzionamento. Una volta installata l’app contenente il payload del malware, l’icona dei Servizi Google appare sulla schermata principale. Quando l’utente Android clicca su quell’icona, appare una nuova schermata che richiede privilegi amministrativi come qualsiasi altra app Android. Una volta che l’utente accetta e concede i privilegi al malware, l’opzione di disinstallazione viene disabilitata e viene avviato un nuovo servizio chiamato “GS”. Tuttavia, questo è solo un camuffamento per il malware, se l’utente clicca sull’icona GS, il dispositivo mostra un messaggio “L’app non è installata” e poi si rimuove dalla schermata principale. Ora HijackRAT è in funzione e se l’utente è online, entro pochi minuti l’app si connette con il server di comando e controllo situato a Hong Kong e riceve un elenco di compiti da esso. FireEye afferma di aver tracciato l’indirizzo IP a Hong Kong ma non ha identificato l’autore/proprietario del malware, ma basandosi sull’interfaccia utente del malware, credono che sia probabilmente stato creato da un coreano e che attualmente miri solo agli utenti coreani.

“Non possiamo dire se sia l’IP dell’hacker o un IP vittima controllato dal RAT, ma l’URL è nominato dopo l’ID del dispositivo e l’UUID generato dal server CNC,”

I compiti che deve svolgere sono di provare a scaricare un’app chiamata con il nome ‘update’ e un’abbreviazione del nome della banca dal server di comando e controllo, disinstallando contemporaneamente l’app bancaria originale. Quando il comando per ‘aggiornare’ viene inviato dal remote access tool, un’app simile – ‘update.apk’ viene scaricata dal server di comando e controllo e installata sul dispositivo Android. Il malware invia anche tutti i dettagli dell’utente del proprietario del dispositivo Android al server C & C. Questi dettagli includono numeri di telefono, ID del dispositivo, indirizzi MAC e liste di contatti disponibili nello smartphone o tablet.

• “Data la natura unica di come funziona questa app, inclusa la sua capacità di raccogliere più livelli di informazioni personali e impersonare app bancarie, una minaccia di mobile banking più robusta potrebbe essere all’orizzonte,”

L’aumento del malware che ruba credenziali bancarie non sorprende, ma il livello di ingegnosità e la sofisticazione con cui il malware esegue il suo payload per connettersi con il server C & C è un segnale preoccupante per Google, analisti di sicurezza e la comunità Android.