Banking trojan

Escobar, il malware-as-a-service per Android che bypassa la doppia autenticazione: come proteggersi

Il banking trojan Escobar ruba i codici Google Authenticator MFA delle vittime, per colpire istituzioni bancarie, aggirando il doppio fattore di autenticazione a protezione degli account. Ecco come agisce e come difendersi

15 Mar 2022
C
Mirella Castigli

Giornalista

Il trojan bancario Aberebot Android ritorna con il nome di Escobar e agisce da malware-as-a-service. Il principale obiettivo è quello di rubare informazioni dagli account bancari delle vittime, trafugare quanto è disponibile e perfino effettuare transazioni non autorizzate.

Escobar ha nuove funzionalità, inclusa la capacità di rubare i codici Google Authenticator MFA (multi-factor authentication). Ma non è l’unica caratteristica che lo rende particolarmente insidioso.

Infatti, “Escobar Bot è una versione nuova e potenziata di un data stealer noto come Aberebot che implementa un modello malware-as-a-service”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus. Ecco di cosa si tratta.

Escobar, il malware-as-a-service che colpisce le banche

“Il modello malware-as-a-service”, continua Paganini, rappresenta “una modalità in cui gli sviluppatori lo offrono in noleggio a un canone mensile”.

Infatti, i ricercatori di BleepingComputer, usando la piattaforma di cyber-intelligence DarkBeast di KELA in un forum in russo, hanno scoperto un noleggio della versione beta a tremila dollari al mese. Ma il prezzo dovrebbe salire a cinque mila dollari, per la versione definitiva.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing

“Questo modello lo rende estremamente appetibile all’ecosistema criminale ed è quindi facile prevedere una rapida diffusione soprattutto alla luce del gran numero di istituzioni bancarie in tutto il mondo che è già in grado di colpire”, continua Paganini.

“Tra le caratteristiche più interessanti”, mette in evidenza l’esperto di cyber security, c’è “la capacità di bypassare il doppio fattore di autenticazione utilizzato a protezione degli account bancari delle vittime, sia quelli implementati mediante SMS che quelli mediante codici generati con l’applicazione Google Authenticator”.

Infatti, “il malware”, spiega Paganini, “opera richiedendo permessi che gli consentono di:

  • catturare le credenziali degli utenti quando interagiscono con siti ed app di banche;
  • intercettare i codici autorizzativi e 2FA inviati via SMS;
  • e persino catturare i codici generati dall’app Google Authenticator“.

Sono 190 le entità nel mirino del malware, in 18 Paesi.

L’attività di spionaggio

La nuova funzionalità nel malware-as-a-service Escobar include, inoltre, la possibilità di prendere il controllo dei dispositivi Android infettati, tramite:

  • VNC, opzione per registrare l’audio;
  • la possibilità di scattare foto;
  • inoltre espande il raggio d’azione delle apps nel mirino per i furti di credenziali.
  • storage, ottenere liste di account, disabilitare il keylock, effettuare chiamate, accedere alla localizzazione precisa del dispositivo.

Nel complesso, Escobar è in grado di chiedere 25 permessi di cui 15 abusi di attività a scopo sospetto.

Si tratta, dunque, “un vero passe-partout per gli account delle vittime”, conclude Paganini: “Da non trascurare, infine, la capacità dell’ultima versione di prendere pieno possesso del dispositivo della vittima, rendendo il malware utile anche per attività di spionaggio“.

Come proteggersi

Il primo avvistamento di Escobar risale al 3 marzo, quando MalwareHunterTeam ha osservato un APK sospetto, mascherato da app McAfee.

Il consiglio è di non effettuare download di app fuori dai marketplace ufficiali e non cliccare mai su link o allegati in email o messaggi, senza prima controllare dove portano.

Infine, bisogna aggiornare il sistema operativo all’ultima versione stabile disponibile ed effettuare l’update delle applicazioni scaricate, evitando il download di app inutili.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5