Si chiama Rotexy ed è un nuovo malware per Android che si diffonde via SMS: dopo aver infettato lo smartphone della vittima, Rotexy avvia sia un modulo di mobile banking trojan per rubare dati finanziari, sia un modulo di ransomware blocker con cui blocca il dispositivo fino al pagamento di un riscatto.
Per diffondere l’app malevola, i criminal hacker utilizzano un messaggio SMS con un testo accattivante. In alcuni casi, questi messaggi vengono inviati dal numero di telefono di un amico o di un contatto presente nella rubrica della vittima. L’SMS esorta quindi l’ignara vittima a cliccare sul link presente nel messaggio per scaricare una nuova e interessante app.
Indice degli argomenti
Rotexy: l’app malevola che spia negli SMS
Subito dopo aver infettato il dispositivo, Rotexy entra in azione avviando il suo modulo di mobile banking trojan. L’app malevola cerca quindi di capire su quale tipo di dispositivo si trova per ostacolare il lavoro dei ricercatori antivirus: se il malware si rende conto di trovarsi in un emulatore e non su un vero smartphone, inizia a riavviarsi continuamente in modo da impedire la sua identificazione. Altrimenti, trojan inizia a svolgere il suo lavoro.
Innanzitutto, l’app dietro la quale si nasconde richiede alla vittima alcune autorizzazioni da amministratore. L’utente può rifiutare la richiesta, ma in questo caso il trojan continuerà a saltar fuori all’infinito, rendendo di fatto impossibile utilizzare lo smartphone. Ottenute le credenziali di amministratore, Rotexy notifica che l’applicazione non può essere caricata correttamente e l’icona viene nascosta. In realtà, l’installazione è andata a buon fine e il trucco usato serve solo per nascondere le attività malevoli alla vittima.
Dopo essersi nascosto nell’ombra, il malware contatto il server Command & Control per comunicare con i suoi creatori e consentire loro di controllare lo smartphone infetto da remoto. In alcune varianti, Rotexy può ricevere ordini dai criminal hacker direttamente via SMS o mediante il servizio di messaggistica Google Cloud Messaging.
Come funziona il modulo di mobile banking trojan
Non contento di aver preso il controllo dello smartphone, Rotexy imposta il dispositivo in modalità silenziosa in modo da impedire che la vittima si accorga dell’arrivo di un nuovo SMS. Il trojan intercetta quindi il messaggio, lo analizza e se individua dati finanziari lo inoltra al server C&C. Chiaramente, gli SMS che attirano il trojan sono quelli contenenti, ad esempio, le ultime cifre di un numero di carta di credito in una notifica inviata via SMS dalla banca. Come se non bastasse, Rotexy si premura pure di rispondere al posto della vittima mediante alcuni template pronti all’uso, giusto per non destare sospetti.
In alcuni casi, inoltre, i cybercriminali inviano al trojan uno specifico comando per istruirlo a inviare il link da cui scaricare una copia di sé stesso a tutti i contatti presenti nella rubrica della vittima: è questo il sistema di propagazione principale del trojan.
L’obiettivo principale dei criminal hacker non è, comunque, quello di rubare gli SMS della vittima, ma di fare soldi sfruttando i numeri di carta di credito rubati spiando questi messaggi.
Quando la vittima seleziona il link contraffatto presente nel messaggio infetto, Rotexy visualizza una pagina di phishing il cui contenuto viene di volta in volta modificato in base alle istruzioni ricevute dal server C&C. L’aspetto della pagina assomiglierà a quello della banca della vittima e servirà a convincerla ad inserire i dati della propria carta di credito per ricevere un bonifico. Rotexy è così sofisticato da eseguire anche una verifica sul numero della carta di credito. Il trojan, infatti, riesce ad estrarre le ultime quattro cifre dall’SMS inviato dalla banca precedentemente intercettato e le confronta con quelle inserite nella pagina di phishing. Se qualcosa non torna, segnala un errore e invita l’utente a inserire il numero corretto della carta.
Rotexy si traveste da ransomware
In alcune varianti, Rotexy riceve dal server C&C alcune informazioni che gli ordinano di bloccare lo schermo dello smartphone, anziché mostrare una pagina di phishing, aprendo subito dopo una finestra con una richiesta di pagamento di una “multa” per aver visualizzato contenuti non appropriati. A dimostrazione di ciò, vengono allegate delle “prove” fotografiche con dei fermoimmagine di un video pornografico. Come spesso accade per tutti i ransomware mobile, i cybercriminali fingono di essere un qualche organo o ente ufficiale. Nel caso di Rotexy, viene citato un fantomatico ente di controllo di Internet dell’FSB russa (ma in Russia non esiste un’unità del genere).
In alcune particolari circostanze, quindi, Rotexy ha funzionalità di ransomware blocker. Questa variante di ransomware si chiama così perché blocca l’accesso al dispositivo infetto. Questo vuol dire che i file della vittima diventano inaccessibili così come anche l’intero sistema e vengono sbloccati solo dopo aver pagato un riscatto ai cyber criminali. L’altra variante dei ransomware è quella dei cryptor che, come il nome stesso lascia intuire, criptano i dati importanti, inclusi documenti, foto, salvataggi dei giochi, database e così via. Dopo averli criptati, i file non possono essere aperti e l’utente non ha più accesso ad essi, anche se può continuare ad usare lo smartphone. I criminali dietro l’attacco chiedono poi un riscatto in cambio della chiave di crittografia che ripristina l’accesso ai file.
Generalmente, la richiesta di riscatto per un blocker non è alta come quella di un cryptor.
Come sbloccare lo smartphone infetto da Rotexy
Per fortuna, è possibile sbarazzarsi del virus e sbloccare lo smartphone infetto in maniera abbastanza semplice. Come abbiamo detto a inizio articolo, Rotexy riceve i comandi via SMS e il bello è che questi comandi non devono essere inviati da un numero nello specifico, chiunque può mandarli. Ciò vuol dire che se lo smartphone è bloccato e non è possibile chiudere la finestra creata dal malware, non bisogna fare altro che prendere un altro telefono e seguire queste istruzioni:
- inviare un SMS al proprio numero di telefono con il messaggio 393838. Il malware lo interpreterà come l’ordine di cambiare l’indirizzo del C&C, lasciando il campo vuoto e smettendo quindi di obbedire ai cybercriminali;
- mandare un altro messaggio al proprio numero di telefono, stavolta scrivendo 3458: questo comando priverà il trojan delle autorizzazioni di amministratore;
- inviare un SMS al proprio telefono con il messaggio stop_blocker: questo comando costringerà Rotexy ad eliminare il sito o il banner che blocca lo schermo;
- a questo punto, se il trojan ricomincia a chiedere nuovamente le autorizzazioni da amministratore, sarà sufficiente riavviare il dispositivo in modalità di sicurezza (la procedura varia a seconda del modello e della marca del telefonino), accedere al menu Gestione applicazioni oppure Applicazioni e notifiche (in base alla versione di Android in uso) ed eliminare il malware dal dispositivo.
Ovviamente, è sempre meglio prevenire che curare. È quindi opportuno seguire alcune semplici regole (del tutto identiche a quelle valide per proteggere un computer) per evitare di cadere nella trappola di Rotexy e, più in generale, di ogni tipologia di mobile banking trojan e ransomware:
- innanzitutto, evitiamo di cliccare su link sospetti presenti negli SMS. Anche se la curiosità di leggerne il contenuto è tanta e il messaggio sembra provenire da un amico, prima di aprire il link accertiamoci che la persona in questione abbia davvero inviato l’SMS. Una telefonata ad un amico vale meno del riscatto richiesto dal criminal hacker per sbloccare lo smartphone e con i pochi centesimi addebitatici dall’operatore telefonico possiamo mettere al sicuro il nostro conto in banca;
- scarichiamo le applicazioni per il nostro smartphone sempre e soltanto da Google Play. Conviene anche bloccare l’installazione di programmi da fonti sconosciute, andando ad operare nelle impostazioni dello smartphone. Usiamo fonti diverse solo quando siamo più che sicuri della loro affidabilità;
- così come faremmo sul computer, installiamo anche sullo smartphone un buon antivirus per dispositivi mobili, che ci proteggerà dai malware anche quando clicchiamo su qualcosa di pericoloso senza volerlo.
Proprio l’aggiornamento continuo dei nostri smartphone è, secondo Pierguido Iezzi, Swascan Cybersecurity Strategy Director e Co Founder, la principale arma di difesa dai mobile trojan. “Parliamo spesso di ciclo di vita del software e della necessità di garantire non solo la manutenzione ma anche il costante update di funzionalità e servizi che siano in linea con il mercato e soprattutto con l’esigenza dei propri utenti e clienti”.
Per questo, secondo Iezzi, “non dovremmo stupirci se i criminal hacker prestano la stessa attenzione ai loro prodotti tecnologici. Rotexy è di fatto la dimostrazione di come un malware nato nel 2014 si sia evoluto negli anni per essere più efficace. Ma non è l’unico caso. Proprio in questi giorni, un altro mobile trojan sta tentando di diffondersi nei nostri smartphone: stiamo parlando di Asacub. È un mobile trojan banking che è stato scoperto nel 2015. Grazie alle “nuove funzionalità” e ad una campagna su larga scala oggi è una delle minacce più concrete. Non è un caso che è entrato nella all of fame affiancando gli storici Faketoken e Svpeng”.
L’analisi di Iezzi continua notando “come il funzionamento di questi due trojan sia estremamente simile. Anche Asacub, viene diffuso tramite un msg sms contenente un link che invita l’utente ignaro a scaricare l’APK del trojan celato sotto il nome di un popolare servizio di annunci gratuiti. Gli ultimi trend dimostrano come ci sia un’attenzione particolare verso i dispositivi Android. Secondo G DATA il 2018 ha rilevato oltre 3,2 milioni di malware per Android”.
Qual è, dunque, il consiglio per difendersi?
“Gli strumenti di difesa a disposizione di noi utenti sono soprattutto l’aggiornamento del dispositivo e una maggiore attenzione. Questa stessa attenzione dovrà essere garantita anche dagli app stores che dovranno “prevenire” la pubblicazione di APP Trojan Repacking e Trojan App. Nel 2018 ogni giorno si contano circa 11.700 trojan app dedicate per Android”.
@RIPRODUZIONE RISERVATA