Così ti svuotano il Conto Corrente. Nuovo trojan Bancario BRATA

Posted by By Francesco D'Accico 7 Min per Leggere

Una famosa banca Italiana ha subito un pesante attacco di phishing che ha bucato moltissimi conti corrente dei clienti

Il Trojan di accesso remoto (RAT) Android conosciuto come BRATA è stato individuato in Italia, con gli attori delle minacce che chiamano le vittime di attacchi tramite SMS o chiamate dirette per rubare le loro credenziali bancarie online ed ovviamente svuotare il conto in pochi minuti.

La variante attualmente in circolazione è nuova e, secondo un rapporto dei ricercatori di Cleafy, può passare inosservata dalla stragrande maggioranza degli scanner AV. BRATA è stato visto in precedenza in Brasile, distribuito tramite app sul Google Play Store, ma sembra che i suoi autori lo stiano vendendo a operatori stranieri, il che non è insolito in questo campo.

La campagna italiana è stata individuata per la prima volta nel giugno 2021, tramite la disponibilità di più app Android che venivano installate tramite SMS phishing, altrimenti noto come smishing. La maggior parte delle app dannose si chiamava “Sicurezza Dispositivo” e veniva promossa come strumento antispam.

Nella prima ondata, l’antivirus non è riuscito nel rilevamento, con un tasso di riconoscimento del codice malevolo del 50% su Virus Total. Questi alti tassi di rilevamento hanno portato a una seconda ondata utilizzando una nuova variante con tassi di rilevamento estremamente bassi a metà ottobre.

Lavoro manuale richiesto per completare l’attacco: Una chiamata dagli hacker che si fingono addetti all’assistenza della banca

L’attacco inizia con un SMS non richiesto con un link che collega un sito web dannoso. Il testo afferma di essere un messaggio della banca che invita il destinatario a scaricare un’app anti-spam. Il collegamento conduce a una pagina da cui la vittima scarica autonomamente il malware BRATA o la porta a una pagina di phishing per inserire le proprie credenziali bancarie.

Durante quel passaggio, gli hacker della minaccia chiamano la vittima al telefono e fingono di essere un dipendente della banca, offrendo aiuto per l’installazione dell’app. L’app richiede più autorizzazioni per consentire all’hacker di assumere il pieno controllo del dispositivo compromesso, inclusi i servizi di accessibilità, visualizzare e inviare SMS, effettuare chiamate telefoniche ed eseguire la registrazione dello schermo.

L’elenco completo delle capacità di BRATA include:

  • Intercetta i messaggi SMS e li inoltra a un server C2. Questa funzione viene utilizzata per ottenere l’invio di 2FA dalla banca tramite SMS durante la fase di accesso o per confermare le transazioni.
  • Funzionalità di registrazione e trasmissione dello schermo che consentono al malware di acquisire qualsiasi informazione sensibile visualizzata sullo schermo. Ciò include audio, password, informazioni di pagamento, foto e messaggi. Attraverso il servizio di accessibilità, il malware fa clic automaticamente sul pulsante “avvia ora” (del popup), quindi la vittima non è in grado di negare la registrazione/casting del dispositivo di proprietà.
  • Rimuove se stesso dal dispositivo compromesso per ridurre il rilevamento.
  • Disinstalla applicazioni specifiche (ad es. antivirus).
  • Nascondi la propria app icona per essere meno tracciabile da utenti non avanzati.
  • Disattiva Google Play Protect per evitare di essere segnalato da Google come app sospetta.
  • Modifica le impostazioni del dispositivo per ottenere più privilegi.
  • Sblocca il dispositivo se è bloccato con un pin segreto o una sequenza.
  • Visualizza la pagina di phishing.
  • Abusare del servizio di accessibilità per leggere tutto ciò che viene mostrato sullo schermo del dispositivo infetto o per simulare clic (tocchi) sullo schermo. Queste informazioni vengono quindi inviate al server C2 degli aggressori.

Gli hacker abusano di queste autorizzazioni per accedere al conto bancario della vittima, recuperare il codice 2FA ed eventualmente eseguire transazioni fraudolente. I conti utilizzati come punti intermedi in questa campagna hanno sede in Italia, Lituania e Paesi Bassi.

Proteggiti così

Poiché si tratta di una campagna mobile, gli utenti desktop sono esclusi dalle infezioni per restringere l’ambito di targeting alle potenziali vittime. Se provi ad aprire il link contenuto nell’SMS su un PC o laptop, il sito non sarà visualizzabile. Questo è un semplice metodo di controllo per confermare la validità dei messaggi in arrivo.

In secondo luogo, nessuna banca suggerisce mai di installare un’app diversa dall’app ufficiale di banking, che si trova sul Play Store/App Store a cui è collegata dal sito web ufficiale della banca. Andante sul sito della vostra banca digitando l’indirizzo e non cliccare su alcun link.

Infine, ogni volta che installi un’app, presta attenzione al tipo di autorizzazione richiesta e considera la sua rilevanza per la funzionalità dell’app. Non installare l’app se un’app richiede troppe autorizzazioni non correlate alla sua funzionalità e scaricale sempre dalle fonti ufficiali.

  • Non cliccare sui link che ricevi via SMS o anche via mail
  • Nessuna Banca ti chiama al telefono e ti chiede username e password
  • Nessuna Banca ti fornisce assistenza accedendo da remoto sui tuoi dispositivi
  • Le applicazioni ufficiali della Banca si installano dal Play Store, dall’App Store o dal Huawei AppGallery e non attivi MAI le Sorgenti Sconosciute
  • Non inserire mai le credenziali di accesso al tuo home banking se non sul sito ufficiale della tua banca raggiungibile direttamente e mai tramite click sul link. Questo perché gli hacker copiano in tutto e per tutto il sito ufficiale ma con un link leggermente diverso tipo imtesasanpaolo.com (ti sei accordo che c’è scritto imtesa e non intesa???) mentre quello ufficiale è intesasanpaolo.com
  • Cerca il numero verde dell’assistenza clienti ufficiale della tua banca e chiedi informazioni sulla chiamata o SMS appena ricevuto così da capire immediatamente dell’attacco in corso

Via, FONTE

Tags:
Francesco D'Accico
Visualizza altri post
Sono appassionato di tecnologia sin dalla tenera età, coltivo la mia passione con aggiornamenti quotidiani e non mi lascio scappare proprio nulla. Ho creato HowTechIsMade per condividere con voi le mie passioni ed aiutarvi ad avere un approccio più semplice con la tecnologia.
Exit mobile version