Se una banca ti invia le tue password tramite un messaggio di testo, questo trojan Android potrebbe rubarle

Pensi ancora che un'operazione di malware di successo dipenda da hacker di talento che creano un malware su misura in grado di tenere lontani i profumieri dai ricercatori della sicurezza e dalle forze dell'ordine? Potresti voler ripensarci. Un trojan bancario Android recentemente scoperto di nome Geost, ad esempio, è riuscito a infettare più di 800 mila dispositivi in Russia e in Europa orientale e i suoi operatori hanno raccolto credenziali di accesso che potrebbero potenzialmente consentire loro di accedere a milioni di euro nelle vittime conto in banca.

Lo hanno lanciato per la prima volta nel 2016 e sono riusciti a tenerlo sotto controllo fino all'inizio di quest'anno, il che è ancora più sorprendente se si considera la raffica di errori di sicurezza delle operazioni (opsec) che i criminali hanno commesso. Prima di arrivare a loro, tuttavia, vediamo come funziona Geost.

Geost - un potente trojan bancario che può rubare le tue password

Il malware è stato descritto per la prima volta in un documento di ricerca scritto da Sebastian Garcia dell'Università tecnica ceca, Maria Jose Erquiaga dell'Università UNCUYO nella Repubblica ceca e Anna Shirokova di Avast. I ricercatori hanno scoperto Geost per caso durante la revisione dell'attività di HtBot, una rete proxy sotterranea che gli operatori di malware affittano per reindirizzare il loro traffico malevolo.

Durante il monitoraggio della comunicazione, gli esperti hanno notato un volume insolitamente elevato di traffico proveniente da dispositivi russi e, dopo un'indagine approfondita, si sono resi conto che stavano esaminando una varietà precedentemente non documentata di malware Android.

Gli operatori di Geost infettano le loro vittime prendendo legittime applicazioni Android, intercettandole e distribuendole attraverso app store di terze parti. Una volta che è sul dispositivo, il trojan è in grado di rubare ogni tipo di informazione, sebbene il suo focus principale sia sulle password bancarie.

La maggior parte delle credenziali viene rubata dai messaggi di testo

Sebastian Garcia ha dichiarato a ZDNet che oltre il 90% delle password compromesse è stato rubato dopo che la banca l'ha inviato alla vittima come SMS.

Anche se ignori completamente il fatto che ci sono trojan come Geost che possono facilmente rubare messaggi di testo, la pratica di inviare password di servizi bancari online come SMS (che sembra essere relativamente comune in Russia) è ancora una brutta notizia perché significa che il le istituzioni li stanno archiviando in un formato leggibile dall'uomo.

Per le banche che non trasmettono informazioni sensibili su mezzi non sicuri , Geost è progettato per phishing delle credenziali utilizzando un modulo di accesso singolo. I dati rubati vengono reindirizzati attraverso la rete proxy HtBot e inviati a uno di almeno 13 server C&C.

I facepalms di Opsec hanno portato alla scoperta di Geost

Gli operatori di Geost ovviamente non avevano idea che i ricercatori della sicurezza stessero monitorando la rete proxy HtBot che avevano assunto, ma anche così avrebbero dovuto capire che con più di 800 mila dispositivi infetti, l'aumento del traffico poteva attirare una certa attenzione sul loro funzionamento. Tuttavia, non lo hanno fatto e hanno anche dimenticato che probabilmente dovrebbero fare qualcosa per proteggere quei dati mentre sono in transito.

I truffatori non si erano preoccupati dei certificati SSL per i loro server C&C, il che significava che il traffico tra i dispositivi infetti e l'infrastruttura di backend dei truffatori era abbastanza facile da intercettare. Gli esperti hanno dato una sbirciatina all'interno dei C&C e hanno avuto una visione abbastanza buona di come viene gestita l'intera operazione.

Hanno visto le statistiche sul numero di telefoni infetti, quali sono le banche maggiormente prese di mira e hanno potuto vedere di persona come il malware filtra e elabora automaticamente i messaggi di testo. Questo non era tutto, però.

Mentre stavano indagando, i ricercatori sono inciampati in un registro di chat di Skype che ha rivelato più di otto mesi di comunicazione tra gli operatori Geost. Ancora una volta, la cronologia della chat ha offerto un brillante primo piano di ciò che accade durante un'operazione di malware come questa. Ha rivelato ancora più errori di Opsec come la condivisione delle password di C&C in testo semplice e ha dimostrato che ad un certo punto alcuni dei criminali informatici coinvolti nella campagna non erano particolarmente soddisfatti di ciò che stava accadendo.

Il registro ha anche rivelato i soprannomi che sono stati utilizzati su siti Web e servizi pubblici e i ricercatori hanno affermato che cercheranno di monitorare le persone che si trovano dietro di loro. Si spera che riusciranno a raggiungerli perché, nonostante tutti i loro errori, gli operatori di Geost sono ancora riusciti a lanciare una campagna su larga scala che si sta rivelando abbastanza efficace.