L'ANALISI TECNICA

Alien, il malware che infetta le app Android e svuota i conti correnti delle vittime

Si chiama Alien un nuovo banking trojan per Android molto insidioso che consente di sottrarre le credenziali da 226 app e agire da remoto sul device della vittima in modo del tutto indisturbato. Ecco tutti i dettagli

02 Ott 2020
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor


Si chiama Alien un nuovo insidioso trojan bancario per Android scoperto dai ricercatori di Threat Fabric che consente di sottrarre le credenziali da 226 app mediante presentazione all’utente di schermate di login fittizie consentendo poi al malintenzionato di accedere al dispositivo da remoto ed effettuare, come riportato dallo CSIRT Italia, una serie di operazioni:

  • registrare le digitazioni da tastiera;
  • installare TeamViewer per mantenere l’accesso da remoto al dispositivo;
  • raccogliere, inviare o inoltrare SMS;
  • sottrarre la lista dei contatti;
  • raccogliere dettagli sul dispositivo e la lista delle app;
  • registrare dati di geo-localizzazione;
  • effettuare richieste USSD;
  • inoltrare chiamate;
  • installare e avviare altre app;
  • aprire il browser e indirizzarlo su pagine specifiche;
  • bloccare lo schermo;
  • visualizzare le notifiche mostrate sul dispositivo;
  • sottrarre codici 2FA generati da app di autenticazione.

Il malware deriva da una sofisticazione rispetto al suo predecessore Cerberus che, come malware-as-a-service, ha avuto un enorme diffusione negli ultimi mesi e il cui codice sorgente è stato rilasciato gratuitamente sui forum underground ed è quindi disponibile per chiunque voglia riutilizzarlo e modificarlo (e, a quanto pare, i creatori di Alien non si sono fatti sfuggire questa ghiotta occasione).

Analizziamo quindi le sue funzionalità, per capire come difendersi e che tipo di considerazioni possiamo trarre dalla natura di questo “alieno digitale”.

Elementi funzionali del malware Alien e distribuzione

Pierluigi Torriani, Security Engineering Manager di Check Point, sottolinea come le feature del trojan derivate da Cerberus includano una serie piuttosto vasta di funzionalità, fra cui la registrazione di tutte le sequenze di tasti sul dispositivo (credenziali incluse), il furto dei dati di servizi di autenticazione e qualsiasi SMS ricevuto (two-factor authentication incluso) e il comando del dispositivo da remoto tramite TeamViewer.

Queste capacità hanno reso Cerberus un malware molto pericoloso e potente, quindi anche le sue varianti, come appunto è Alien, hanno caratteristiche simili.

Sono state create anche varianti derivanti da Cerberus con nome “corona.apk”, sfruttando debolezze e vulnerabilità di strumenti e persone causati dal particolare periodo storico che stiamo vivendo a causa dell’emergenza sanitaria per la pandemia di Covid-19.

Inoltre, il fatto che Alien come derivato di Cerberus sia anch’esso un Malware-as-a-Service (MaaS) consente a chiunque di “noleggiare” i suoi servizi per costruire il proprio payload e configurare, comandare e controllare tutti i dispositivi infettati da esso.

Max Heinemeyer, Director of Threat Hunting di Darktrace, lo definisce un malware di “generazione Z” perché prende di mira le app mobile, le comunicazioni sui social media e le criptovalute e sottolinea come la tipologia di Malware-as-a-Service stia diventando sempre più popolare perché consente ai criminali scarsamente abili, di condurre attacchi informatici altamente professionali.

Gli autori di queste varianti di malware innovano costantemente le proprie tecniche e non hanno paura di prendere in prestito parti da strumenti che hanno avuto successo in precedenza, come nel caso di Cerberus.

WHITEPAPER
Sicurezza OT: tutto quello che c’è da sapere
Sicurezza

Oggi la stessa minaccia agisce due volte: si propaga su PC e anche sui dispositivi mobile. Ad esempio, Alien sfrutta messaggi SMS dannosi o applicazioni mobile fraudolente per divulgare l’infezione.

Gli autori di Alien si sono focalizzati su come eludere l’autenticazione a più fattori, considerando che si tratta di una misura di sicurezza fondamentale oggi, ma “non è a prova di proiettile”. Abbiamo bisogno di un approccio maggiormente olistico, che utilizzi le tecnologie migliori, come l’IA, perché quando l’autenticazione a più fattori fallisce, si possano prendere decisioni in pochi secondi su un comportamento potenzialmente dannoso e fermare una minaccia.

Su cosa riflettere per il futuro

Aaron Visaggio, professore associato del Dipartimento di Ingegneria dell’Università del Sannio e Direttore del ISWHAT LAB, condivide invece gli elementi di riflessione per gli approcci futuri: “Alien si è evoluto rispetto a Cerberus. Pare, infatti, che nelle intenzioni dell’autore ci fosse l’idea di affittarlo (mediante malware-as-a-service) seguendo alcune storie di “successo”, come per esempio quella di GrandGrab”.

“Non riuscendo, però in questa operazione”, continua il professor Visaggio, “ha ceduto il codice sorgente. Questo il punto di amplificazione del malware. Moltissimi malware, dopo essere utilizzati in campagne di grande diffusione, vengono ceduti nelle Darknet. Un caso notorio è quello di Mirai, reso pubblico addirittura poche ore dopo il termine della campagna. Invece nel web di superficie i siti d i sorgenti dei malware sono numerosi e raggiungibili mediante ricerca sui comuni browser, il che offre agli scrittori di malware il “riutilizzo di codice” esistenti per modifiche. Questo sistema provoca una proliferazione smisurata di malware nella rete tanto che si contano oltre mezzo miliardo di malware circolanti in un anno. Dunque, la prima riflessione è che abbiamo necessità di sviluppare tecniche efficaci per fare una buona filogenesi dei malware, cioè tecniche che consentano di capire che un malware deriva da qualcosa di noto e che, di conseguenza, dovrebbe poter essere facilmente identificato”.

La seconda riflessione del professor Visaggio è “che Alien è un trojan e come tale viene veicolato attraverso app su mercati di terze parti, cioè non ufficiali, in quanto Play Protector era in grado di riconoscerlo. Quindi si rendono necessari meccanismi di trust sui nostri smartphone che devono essere molto più rigorosi di quelli attuali. Concorre anche la poca sensibilità o conoscenza del rischio degli utenti che troppo spesso hanno comportamenti poco accorti. Soluzioni percorribili potrebbero considerare elementi di sicurezza vincolando le operazioni utente. Ad esempio, rendere impossibile l’installazione di app non certificate da Autorità Trusted (Come accade con i driver firmati dei dispositivi)”.

Infine, conclude Visaggio, “la terza riflessione riguarda la ricchezza di funzionalità sofisticate che Alien porta con sé: il modo con cui l’app si assegna i privilegi di accessibilità riproducendo le interazioni utente-interfaccia; le tecniche di evasione che identificano gli emulatori e ostacolano la sua rimozione; le funzionalità malevole come il keylogging e lo screen locking. Sono tutte feature che rendono Alien estremamente invasivo, silente e aggressivo. Delle 266 Organizzazioni che rientrano nell’insieme degli obiettivi del malware ci sono molti istituti bancari Italiani di grande importanza, ovvero con molti clienti. La riflessione, dunque è che in un momento storico in cui i malware riescono a raggiungere un livello così alto di sofisticazione ed efficacia, rimaniamo convinti che gli smartphone siano i dispositivi giusti per utilizzare app critiche come l’home banking? Anche perché presto a queste se ne aggiungeranno altre, come quelle domotiche, biomedicali e di interfaccia con le “smart cars”. Forse è il caso di fermarsi un attimo e, nel frattempo che la nostra capacità di difesa ritorna congruente al livello di rischio, ripensare sia l’usabilità che il mercato delle app”.

Suggerimenti per la prevenzione e la difesa da Alien

Pierluigi Torriani conferma i suggerimenti dello CSIRT Italiano per la prevenzione che richiedono download solo da store ufficiali e molta attenzione da parte dell’utente finale per i permessi richiesti dall’app in fase di installazione per individuare richieste fuori luogo, improprie, o troppo ”invadenti”.

Alien appare come nuovo malware (perché è una variante di un malware già esistente), quindi per essere sicuri di proteggersi per tempo servono strumenti adeguanti capaci di identificare il codice sorgente comune e identificare come malevolo il codice.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5