Un nuovo malware brasiliano ora colpisce l’Italia: alto rischio per le Banche

Sono oltre 100 le banche colpite dal trojan in circolazione sin dal 2007

Un nuovo problema che riguarda le banche italiane.

È stato individuato un nuovo malware per dispositivi Android che colpisce le banche in Italia e in diversi altri paesi europei: i ricercatori che l’hanno scoperto riferiscono che ha preso di mira dispositivi degli utenti spacciandosi come app per il live streaming o di spedizionieri, attivando funzioni per l’accessibilità dei dispositivi che hanno permesso di recuperare credenziali e altri dati.

Scoperto dai laboratori Kaspersky, il nuovo malware bancario, denominato Bizarro, che prende di mira 70 banche in diverse nazioni nel mondo, sia sudamericane che europee, tra le quali l’Italia, anche se al momento nel nostro Paese non si segnalano casi particolarmente gravi.

Secondo quanto svelato dai ricercatori della nota azienda specializzata nella produzione di software per la sicurezza, il virus appartiene a una nuova famiglia di trojan che ha avuto origine in Brasile, per poi diffondersi in Argentina, Cile, Germania, Spagna, Portogallo, Francia e, come scritto prima, Italia.

LEGGI ANCHE: Hacker usano Telegram per diffondere pericoloso virus: 130 attacchi

Il virus perfetto

Il malware, denominato Teabot dai ricercatori di Cleafy, è stato sfruttato per dirottare le credenziali di utenti e messaggi SMS, prendendo di mira gli utenti di banche in Spagna, Germania, Italia, Belgio e Paesi Bassi.

Il Threat Intelligence and Incident Response team di Cleafy ha individuato il trojan bancario a gennaio 2021, spiegando che ha colpito 60 diversi istituti europei.

Dal 29 marzo, gli analisti di Cleafy hanno individuato il trojan in uso per colpire banche italiane, e da maggio per prendere di mira banche in Belgio e Olanda.

Bizarro utilizza allegati e link nelle email di spam per diffondersi: basta un click sbagliato, e una volta avviato, il malware scarica automaticamente una cartella zip da un sito compromesso per implementare le sue funzionalità dannose.

Fino a ora, gli esperti di Kaspersky, che sottolineano come siano le backdoor l’elemento principale sfruttato da Bizarro per superare le difese dei sistemi, hanno rilevato questo virus utilizzare server compromessi ospitati su Azure, Amazon e WordPress, per archiviare il malware e i dati raccolti.

I ricercatori riferiscono che il malware sembra ancora in fase di sviluppo, con obiettivi iniziali banche in Germania e Italia, e con supporto per sei diverse lingue, incluse: spagnolo, inglese, italiano, tedesco, francese e olandese.

L’app era inizialmente denominata TeaTV ma poi titoli più “accattivanti” quali “VLC MediaPlayer,” “Mobdro,” “DHL,” “UPS” e “bpost”, per attirare l’attenzione di ignari utenti che pensano di scaricare app che non fanno nulla di male.

LEGGI ANCHE: Clubhouse ora su PC, falso: pubblicità su Facebook diffonde malware

Cosa combina il malware brasiliano

Il codice malevolo, dopo aver inviato i dati al server di telemetria, inizializza il modulo di acquisizione dello schermo.

Bizarro contiene più di 100 comandi, e la maggior parte di essi viene utilizzato per visualizzare falsi messaggi pop-up agli utenti, molti dei quali strutturati in maniera tale da sembrare uguali alle notifiche inviate dai veri sistemi bancari online.

Anche per questo, oltre ai trucchi di ingegneria sociale che aiutano a convincere gli obiettivi a fornire le proprie credenziali di banking online, l’analisi e il rilevamento del malware è complicato.

Gli esperti in sicurezza sottolineano che, anche se queste app non sono su Google Play, vengono sfruttate tecniche di phishing/ingegneria sociale per convincere gli utenti a scaricarle da siti terzi, e minacce di questo tipo non devono essere sottovalutate.

Per difendersi dalla minaccia, in attesa di contromisure più dirette, Kaspersky consiglia alle aziende bancarie di aggiornare costantemente i propri team di sicurezza fornendogli software e facendoli partecipare a corsi di aggiornamento adeguati, implementare soluzioni anti-frode in grado di rilevare anche i casi più sofisticati e tenere sempre informati i propri clienti sui possibili pericoli e sui trucchi che i malfattori possono utilizzare per rubargli account e soldi.