I Trojan dei taxi stanno arrivando

i Trojan di Android hanno imitato applicazioni bancarie, messaggistica, e social app per un po’ di tempo. Le applicazioni per le prenotazioni dei taxi sono le successive nella lista.

Avete una gran fretta, state cercando di andare al lavoro, a una riunione d’affari, a un appuntamento. Così, come al solito, aprite la vostra applicazione preferita per prenotare un taxi, ma questa volta questa vi chiede di inserire il vostro numero di carta di credito. Ciò vi sembra sospetto? Forse non lo è, le applicazioni dimenticano le informazioni, e tutto quello che dovete fare è aggiungere nuovamente il numero della carta.

Tuttavia, dopo qualche tempo notate il denaro scomparire dal vostro conto. Che cosa è successo? Potreste essere gli sfortunati vincitori di un Trojan mobile. Questo tipo di malware è stato recentemente sorpreso a rubare i dati bancari imitando le interfacce delle applicazioni per la prenotazione di taxi.

Il Trojan Faketoken esiste già da tempo e viene aggiornato da molti anni. I nostri esperti hanno chiamato la versione corrente “Faketoken.q”, e ormai ha imparato un numero significativo di trucchi.

Dopo essersi infiltrato in uno smartphone (a giudicare dall’icona del malware, Faketoken si infiltra negli smartphone attraverso i messaggi SMS di massa dove si invita l’utente a scaricare una immagine) e installando i moduli necessari, il Trojan nasconde l’icona di collegamento e avvia il monitoraggio in background di tutto ciò che accade nel sistema.

L’icona del Trojan Faketoken installato

Prima di tutto, il Trojan è interessato alle chiamate dell’utente. Appena rileva una chiamata, inizia la registrazione. Quando la chiamata è terminata, Faketoken invia la registrazione al server dei cybercriminali. In un secondo momento, il Trojan controlla anche quali applicazioni vengono utilizzate dal proprietario dello smartphone.

Quando Faketoken rileva l’apertura di un’applicazione di cui può simularne l’interfaccia, il Trojan sovrappone immediatamente l’applicazione con la propria schermata. Per raggiungere questo obiettivo, utilizza una funzionalità Android standard che supporta la visualizzazione di sovrapposizioni dello schermo su tutte le altre applicazioni. Un intero gruppo di applicazioni legittime, come messaggistica, gestore delle finestre e così via, utilizza questa funzionalità.

La finestra di sovrapposizione corrisponde ai colori dell’interfaccia dell’applicazione originale. In questa finestra, il Trojan invita l’utente a inserire il numero della sua carta di credito, incluso il codice di verifica sul retro della carta.

Il Trojan Faketoken.q imita le applicazioni per la prenotazione taxi popolari in Russia

In realtà, Faketoken.q è alla ricerca di una grande varietà di applicazioni che hanno una cosa comune: in esse, una richiesta di immissione dei dati di pagamento sembra abbastanza normale da non suscitare sospetti. Tra le applicazioni attaccate ci sono un certo numero di applicazioni bancarie per dispositivi mobili, Android Pay, Google Play Store, applicazioni per prenotare voli e camere d’albergo, applicazioni per pagare multe stradali, così come applicazioni per prenotare taxi.

Nell’esatto momento in cui ruba i soldi all’utente, Faketoken ricorre ad un altro stratagemma, intercettando tutti i messaggi SMS in arrivo, nascondendoli all’utente, e trasmettendoli al server dei criminali, dove le one-time password per la conferma di pagamento vengono estratte da questi messaggi.

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

A giudicare dal ridotto numero di attacchi che abbiamo registrato e dalle interfacce utente, che potete vedere in uno degli screenshot sopra riportati, potremmo dire che i ricercatori del nostro laboratorio antivirus hanno messo le mani su una delle versioni prova del Trojan, non su quella finale.

Dobbiamo riconoscere agli assidui creatori di Faketoken il loro merito. Probabilmente miglioreranno il Trojan e, ad un certo punto, un’ondata d’infezioni potrebbe spuntare dalla versione “commerciale”.

Attualmente il Trojan colpisce gli utenti in Russia, ma come abbiamo visto molte volte in passato, i cybercriminali costantemente si rubano le idee gli uni  con gli altri, quindi non ci vorrà molto tempo prima che lo stesso trucco sia adottato in altri paesi. Molti abitanti delle grandi città hanno già installato applicazioni per la prenotazione di taxi, quindi questo trucco rappresenta una buona opportunità per i creatori di malware.

Di seguito troverete diversi consigli su come proteggersi da Faketoken e da simili Trojan mobile che rubano i numeri di carta di credito e intercettano messaggi SMS con le password usa e getta utilizzate per confermare i pagamenti.

  • È indispensabile che entriate all’interno delle impostazioni di Android e vietiate l’installazione di applicazioni da fonti sconosciute. Per bloccare l’installazione da fonti sconosciute, andate su Impostazioni -> Sicurezza e deselezionate Fonti Sconosciute.

Consigli