Falsi e-shop a caccia di credenziali bancarie con il malware Android

La popolarità dello shopping online è cresciuta negli ultimi anni, una tendenza accelerata dalla pandemia. Per rendere ancora più conveniente questo modo già di per sé comodo di non doversi muovere dal divano per acquistare nuove cose, le persone usano sempre più spesso lo smartphone invece del computer per fare acquisti: nel primo trimestre del 2021, gli smartphone hanno rappresentato il 69% di tutte le visite ai siti web di vendita al dettaglio in tutto il mondo e gli acquisti da smartphone hanno costituito il 57% degli ordini di shopping online. Un aspetto degno di nota dell'acquisto di beni e servizi tramite un dispositivo mobile è che il 53% degli utenti di smartphone lo fa da applicazioni specifiche del venditore.

Cercando l'opportunità di trarre profitto da questo comportamento, i criminali informatici lo sfruttano ingannando gli acquirenti e spingendoli a scaricare applicazioni dannose. In una campagna in corso che prende di mira i clienti di otto banche malesi, gli attori delle minacce stanno cercando di rubare le credenziali bancarie utilizzando siti web falsi che si presentano come servizi legittimi, a volte copiando completamente l'originale. Questi siti web utilizzano nomi di dominio simili a quelli dei servizi che impersonano, in modo da attirare le vittime ignare.

Overview della campagna

Questa campagna è stata identificata per la prima volta alla fine del 2021, con gli aggressori che si spacciavano per il servizio di pulizia legittimo Maid4u. Distribuita tramite annunci su Facebook, la campagna induce le potenziali vittime a scaricare il malware Android da un sito web dannoso.

I siti web fake non offrono l'opzione di acquistare direttamente attraverso di essi. Al contrario, includono pulsanti che portano l’utente a scaricare applicazioni da Google Play. Tuttavia, facendo clic su questi pulsanti non si accede allo store di Google Play, ma a server sotto il controllo degli attori della minaccia.

Per apparire legittime, le applicazioni chiedono agli utenti di effettuare l'accesso dopo averle avviate; tuttavia, non vi è alcuna convalida dell'account sul lato server: il software prende qualsiasi input dall'utente e lo dichiara sempre corretto. Mantenendo l'aspetto di un vero e proprio e-shop, le applicazioni dannose fingono di offrire beni e servizi riproducendo l'interfaccia dei negozi originali. Quando arriva il momento di pagare l'ordine, alle vittime vengono presentate delle opzioni di pagamento: possono pagare con carta di credito o trasferendo l'importo richiesto dal proprio conto bancario. Durante la nostra ricerca, non è stato possibile scegliere l'opzione della carta di credito. Come abbiamo già detto, l'obiettivo degli operatori del malware è ottenere le credenziali bancarie delle vittime. Dopo aver scelto l'opzione di trasferimento diretto, alle vittime viene presentata una falsa pagina di pagamento e viene chiesto loro di scegliere la propria banca e di inserire le proprie credenziali.

Dopo aver inviato le proprie credenziali bancarie, le vittime ricevono un messaggio di errore che le informa che l'ID utente o la password forniti non sono validi. A questo punto, le credenziali immesse sono state inviate agli operatori del malware.

Per assicurarsi che gli attori delle minacce possano accedere ai conti bancari delle vittime, le applicazioni di e-shop fasulle inoltrano anche tutti gli SMS ricevuti dalla vittima agli operatori, nel caso in cui contengano codici di autenticazione a due fattori (2FA) inviati dalla banca.

Descrizione del malware

Il malware osservato è piuttosto minimalista: è stato progettato per richiedere una sola autorizzazione all'utente, ovvero la lettura dei messaggi SMS ricevuti. Il suo obiettivo è quello di effettuare il phishing delle credenziali bancarie e di inoltrare i messaggi SMS 2FA dal dispositivo compromesso agli operatori. Mancando la funzionalità di rimozione dei messaggi SMS dal dispositivo, il malware non può nascondere che qualcuno sta cercando di entrare nel conto bancario della vittima.

Finora il malware ha preso di mira solo la Malesia: sia gli e-shop che impersona sia le banche di cui cerca le credenziali dei clienti sono malesi, e i prezzi nelle applicazioni sono tutti visualizzati nella valuta locale, il Ringgit malese. Abbiamo trovato lo stesso codice maligno in tutte e tre le applicazioni analizzate, il che ci porta a concludere che possono essere tutte attribuite allo stesso attore della minaccia.

Conclusioni

Per proteggersi da questo tipo di minaccia, bisogna innanzitutto assicurarsi di utilizzare siti web legittimi per fare acquisti:

·       Verificate che il sito web sia sicuro, ovvero che il suo URL inizi con . Alcuni browser potrebbero addirittura rifiutarsi di aprire siti web non HTTPS e avvisare esplicitamente gli utenti o fornire un'opzione per attivare la modalità solo HTTPS.

·       State attenti a cliccare sugli annunci: è possibile che non portino al sito web ufficiale.

Oltre a fare attenzione ai siti web contraffatti, ecco altri consigli utili per vivere un'esperienza di shopping online più sicura sul vostro smartphone:

·       Prestate attenzione alla fonte delle applicazioni che state scaricando. Assicuratevi di essere effettivamente reindirizzati al Google Play Store quando scaricate un'applicazione.

·       Usate un software o hardware di identificazione a due fattorei invece degli SMS, quando possibile.

·       Utilizzate soluzioni di sicurezza mobile per rilevare siti web dannosi e applicazioni dannose.

Conclusioni

La campagna osservata è un falso schema di e-shop che mira alle credenziali bancarie degli utenti Android in Malesia e che sfrutta la popolarità dell'uso degli smartphone per fare acquisti online. Invece di effettuare il phishing delle credenziali bancarie sui siti web, gli attori delle minacce hanno introdotto le applicazioni Android nella catena di compromissione, assicurandosi così di avere accesso ai messaggi SMS 2FA che la vittima probabilmente riceverà. Lo schema si basa sull'utilizzo di annunci pubblicitari per attirare le potenziali vittime ad accedere a versioni copiate di siti web legittimi. Una volta lì, un falso pulsante di download di Google Play le indirizza verso un'applicazione dannosa distribuita dagli operatori del malware tramite un sito di terze parti.

Sebbene la campagna si rivolga per ora esclusivamente alla Malesia, in seguito potrebbe espandersi ad altri Paesi e banche. Al momento, gli aggressori puntano alle credenziali bancarie, ma in futuro potrebbero anche consentire il furto di informazioni relative alle carte di credito.