Sono attive in tutto il mondo, anche in Italia, quattro campagne distinte di trojan bancari per Android che segnano il passaggio da operazioni isolate a modelli organizzati e scalabili.
I malware analizzati nel report pubblicato da Zimperium sono stati identificati come RecruitRAT, SaferRat, Astrinox e Massiv e mostrano una struttura modulare e una capacità di adattamento che li rende particolarmente efficaci contro un ampio spettro di applicazioni finanziarie e servizi digitali.
Il dato più rilevante è l’estensione del targeting che supera centinaia di applicazioni tra banking, criptovalute e piattaforme social, confermando una strategia globale orientata alla massimizzazione del ritorno economico.
“Complessivamente, queste campagne prendono di mira oltre 800 applicazioni nei settori bancario, delle criptovalute e dei social media. Grazie all’impiego di tecniche avanzate di anti-analisi e alla manomissione strutturale degli APK, queste famiglie di malware mantengono spesso tassi di rilevamento prossimi allo zero rispetto ai tradizionali meccanismi di sicurezza basati sulle firme”, si legge nel rapporto di Zimperium.
Tra le famiglie osservate emergerebbe quella di RecruitRAT come una delle più complete e pericolose, progettata per colpire utenti di servizi finanziari attraverso tecniche avanzate di evasione e controllo remoto.
Questo malware non si limiterebbe solo al furto di credenziali ma integrando una gamma estesa di funzionalità sarebbe una piattaforma modulare capace di adattarsi a diversi contesti operativi.
Indice degli argomenti
RecruitRAT: diffusione globale e presenza in Italia
Sebbene i livelli più elevati si registrino in altri mercati, anche l’Italia rientra tra i paesi in cui RecruitRAT è stato individuato. La sua presenza risulti più contenuta in termini percentuali secondo la telemetria, ma ciò non riduce il rischio complessivo.
Le campagne osservate da Zimperium dimostrano, infatti, una forte capacità di adattamento, con targeting dinamico basato sulle opportunità di monetizzazione. Pertanto, il contesto italiano, caratterizzato da un’ampia diffusione di mobile banking, rimane pienamente compatibile con il modello operativo di questo scenario.
Fonte: Zimperium.
Infezione mascherata da opportunità di lavoro
Uno degli aspetti più distintivi di RecruitRAT sarebbe la modalità di distribuzione. Il malware si presenta come parte di un processo di reclutamento, sfruttando l’interesse degli utenti per nuove opportunità lavorative.
Le vittime vengono indirizzate verso siti fraudolenti costruiti per simulare ambienti legittimi: questi domini funzionano come infrastruttura di phishing e rappresentano il punto di ingresso principale della catena di infezione.
Il download dell’applicazione malevola viene pertanto propinata, giustificandolo come requisito per completare una candidatura, aumentando la probabilità che l’utente esegua volontariamente l’installazione.
Una volta installato, RecruitRAT non attiva immediatamente il proprio comportamento malevolo. L’APK iniziale agisce come un dropper apparentemente innocuo che distribuisce un secondo payload nascosto. Questo componente viene collocato in directory interne dell’applicazione per ridurre la visibilità durante le analisi.
Come spiegato dai ricercatori Fernando Ortega e Vishnu Pratapagiri di Zimperium, in molti casi il malware utilizzerebbe DexClassLoader per caricare dinamicamente codice esterno in fase di esecuzione, introducendo un ulteriore livello di offuscamento per rendere inefficaci molte tecniche di analisi statica.
Persistenza basata sulla furtività
A differenza delle altre famiglie di malware osservate, RecruitRAT non punterebbe a impedire la sua disinstallazione attraverso semplici controlli d sistema, piuttosto la strategia adottata privilegerebbe la riduzione della visibilità.
Come riportato in figura il malware sostituisce dinamicamente la propria icona con un elemento trasparente, scomparendo di fatto dal pannello delle applicazioni. Questa tecnica rende difficile per l’utente accorgersi della presenza dell’applicazione e contribuisce a prolungare il tempo di permanenza sul dispositivo.
Fonte: Zimperium.
Capacità operative e controllo del dispositivo
RecruitRAT disporrebbe di un set di funzionalità estremamente ampio. È in grado di intercettare SMS e notifiche, consentendo il furto di codici di autenticazione.
Può acquisire credenziali attraverso overlay e registrare le interazioni dell’utente.
La simulazione dei gesti consente inoltre agli attaccanti di operare direttamente sul dispositivo, mentre le funzionalità di acquisizione dello schermo permettono un monitoraggio continuo delle attività.
A questo si aggiungono la raccolta di informazioni sul dispositivo e la possibilità di eseguire azioni automatizzate, rendendo il malware uno strumento completo per la frode finanziaria.
Fonte: Zimperium.
Evasione avanzata e resistenza all’analisi
Un elemento centrale della pericolosità di RecruitRat risiede nelle sue capacità di evasione, progettate per ostacolare in modo significativo le attività di analisi.
Il malware interviene direttamente sulla struttura degli APK, manipolandone l’archivio attraverso l’uso di metodi di compressione non convenzionali, flag di cifratura ingannevoli e nomi di file volutamente anomali.
Queste alterazioni compromettono il corretto funzionamento di molti strumenti automatici, rendendo più difficile l’ispezione preliminare dei campioni.
A questo livello strutturale si aggiunge, inoltre, un esteso offuscamento del codice. Le componenti più sensibili, come stringhe e chiamate alle API di sistema, non sono immediatamente leggibili ma risultano cifrate.
La loro risoluzione avviene esclusivamente durante il runtime tramite meccanismi di Java reflection, impedendo in tal modo una comprensione diretta del flusso logico attraverso tecniche statiche.
Come evidenziato anche dai ricercatori di Zimperium, questo approccio obbliga gli analisti a ricorrere a processi manuali di deoffuscazione per ricostruire il comportamento effettivo del malware, aumentando tempo e complessità di analisi.
Un problema per gli utenti, ma anche per le aziende
Le caratteristiche fin qui osservate indicano chiaramente che questi tipi di malware sono un problema non solo per i singoli utenti ma anche per le aziende.
“Dal punto di vista aziendale, questi trojan rappresentano una minaccia significativa per l’integrità dei dati organizzativi. Mascherandosi da strumenti di produttività professionali, prendono di mira i dipendenti che potrebbero utilizzare dispositivi compromessi per accedere a risorse aziendali sensibili”, continuano Ortega e Pratapagiri e concludono, “La capacità di esfiltrare il contenuto dello schermo in tempo reale e di intercettare i token di autenticazione a due fattori (2FA) consente agli autori delle minacce di aggirare l’autenticazione a più fattori, facilitare il furto di identità (ATO) e ottenere accessi remoti non autorizzati agli ambienti aziendali”.
Pertanto, nel caso dell’Italia, dove il malware è già stato osservato, è fondamentale aumentare la consapevolezza degli utenti e limitare l’installazione di applicazioni provenienti da fonti non ufficiali.
Solo un approccio difensivo a più livelli, riducendo il rischio e limitando i danni, può rappresentare l’unica risposta efficace a minacce di questo tipo progettate per evolvere rapidamente e adattarsi ai diversi scenari operativi.
