Toddler Android Banking malware fa di nuovo un tuffo
Il malware bancario Toddler non è esattamente nuovo di zecca, ma è ancora un arrivo relativamente nuovo. È apparso per la prima volta sui radar dei ricercatori di sicurezza nel gennaio 2021 ed è stato avvistato in campagne che attaccavano gli utenti Android in diversi paesi dell'Europa continentale. Il malware sta tornando ai titoli dei giornali, dopo che i ricercatori della sicurezza con il team di PRODAFT Threat Intelligence hanno pubblicato un rapporto dettagliato su cui ha riferito ZDNet.
Toddler è stato avvistato in attacchi effettuati contro le vittime utilizzando ben 60 diverse banche europee. Un rapporto dell'estate 2021 affermava che la maggior parte degli attacchi si concentrava su utenti in Spagna e Italia, ma ci sono stati sforzi per diffondere Toddler in altri paesi dell'Europa continentale, oltre che nel Regno Unito.
Il metodo di distribuzione principale per il malware Android sono i file .apk ottenuti da fonti diverse dal Google Play Store ufficiale. Finora, non ci sono state prove di app che trasportano Toddler sullo store ufficiale di Google. Tuttavia, ci sono stati casi di siti Web legittimi che hanno ospitato Toddler, dopo che sono stati compromessi dagli hacker.
Tutti i casi di vere infezioni mobili che si sono rivelate essere Toddler hanno preso di mira le stesse 18 banche. È interessante notare che la maggior parte delle infezioni si è concentrata solo su 5 di quei 18 istituti finanziari. Secondo i ricercatori di sicurezza che hanno raccolto i dati nel rapporto, questo potrebbe essere indicativo di una precedente campagna di phishing condotta utilizzando messaggi di testo SMS. La Spagna è il più grande hotspot per gli attacchi e un totale di oltre 7600 dispositivi Android sono stati colpiti da Toddler.
Toddler è versatile quanto la maggior parte degli altri malware bancari più diffusi. Ha la capacità di rubare dettagli bancari, acquisire schermate, persino intercettare codici di identificazione a più fattori in arrivo, intercettare messaggi SMS ed elaborare comandi in arrivo dai suoi server di comando e controllo.
Quando si tratta di raccogliere credenziali bancarie, Toddler utilizza un overlay che imita le schermate di accesso legittime. Il malware ha un monitor di app Android integrato e non appena l'utente avvia il proprio strumento bancario legittimo sul proprio telefono o tablet, l'overlay si attiva, pronto a rubare tutto ciò che è stato inserito.
Un'altra caratteristica che rende Toddler particolarmente interessante sono i suoi meccanismi di persistenza estremamente ostinati. Il malware impedirà il riavvio del dispositivo Android e i ricercatori hanno sottolineato che il processo di rimozione di Toddler da un dispositivo richiede "un'enorme competenza tecnica".
