Malware Android DroidBot: nel mirino app bancarie e crypto tramite abuso dei Servizi di Accessibilità

DroidBot è un nuovo malware bancario per Android identificato per la prima volta nel giugno 2024. Operando come malware-as-a-service (MaaS), prende di mira oltre 77 app bancarie e di criptovalute in tutta Europa, mostrando segnali di espansione verso altre aree geografiche. Il malware sfrutta i Servizi di Accessibilità di Android, consentendo agli attaccanti di sottrarre credenziali, manipolare il dispositivo e controllarlo da remoto.

Data 2024-12-05 09:49:13
Informazioni Active Exploitation

Riassunto tecnico

DroidBot è un malware Android sofisticato distribuito tramite piattaforme MaaS al costo di $3,000/mese. È utilizzato da almeno 17 gruppi affiliati di attori minacciosi, ciascuno dei quali personalizza i payload per prendere di mira applicazioni e regioni specifiche. Il malware si camuffa spesso da app legittime come Google Chrome, Google Play o Android Security. Le sue funzionalità principali includono:

  • Keylogging: intercetta tutti i tasti digitati dall’utente.
  • Overlaying: mostra schermate di accesso false sopra le interfacce delle app bancarie e crypto legittime per raccogliere credenziali.
  • Intercettazione SMS: intercetta i messaggi SMS, in particolare quelli contenenti one-time password (OTP).
  • Controllo remoto: include un modulo VNC (Virtual Network Computing) che consente agli attaccanti di manipolare il dispositivo da remoto.

L’uso dei Servizi di Accessibilità da parte di DroidBot gli consente di monitorare l’attività dell’utente, simulare interazioni e occultare la propria presenza oscurando lo schermo del dispositivo.

Raccomandazioni

Per proteggersi da DroidBot:

  1. Buone pratiche per l’installazione delle app:

    • Scaricare app solo da fonti attendibili, come Google Play.
    • Verificare gli sviluppatori delle app e analizzare attentamente le recensioni prima del download.

  2. Consapevolezza dei permessi:

    • Negare richieste di permessi non necessarie o sospette, in particolare l’accesso ai Servizi di Accessibilità.
    • Rivalutare i permessi concessi alle app installate tramite le impostazioni del dispositivo.

  3. Attivazione delle funzionalità di sicurezza:

    • Abilitare Google Play Protect per eseguire scansioni e bloccare app malevole.
    • Mantenere aggiornato il sistema operativo Android e tutte le app per correggere eventuali vulnerabilità.

  4. Monitoraggio e risposta:

    • Prestare attenzione a segni di attività non autorizzata, come app che richiedono nuovi permessi o comportamenti anomali del dispositivo.
    • Disinstallare immediatamente le app sospette e reimpostare le credenziali degli account potenzialmente compromessi.

  5. Applicare controlli aziendali (per le organizzazioni):

    • Utilizzare soluzioni di Mobile Device Management (MDM) per limitare l’installazione di app.
    • Formare i dipendenti sui rischi di phishing e malware su dispositivi mobili.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In