Roma, 12 apr – Una nuova campagna malware basata su Android e destinata a colpire le istituzioni finanziarie australiane è stata scoperta da Talos, il centro di ricerca per l’intelligence e la cybersecurity di Cisco. Secondo i ricercatori della compagnia l’attacco è associato alla truffa spam via sms che sta mietendo vittime in Australia, che ha come titolo del messaggio di testo “ChristinaMorrow”.
Sebbene la raccolta delle credenziali di questo malware – denominato Gustuff – non sia particolarmente sofisticata, ha un meccanismo avanzato di autoconservazione. Anche se non viaggia attraverso un tradizionale strumento di accesso remoto, questa campagna sembra essere indirizzata principalmente a utenti privati, motivo per cui l’attacco avviene quasi esclusivamente tramite sms.
Oltre al furto di credenziali, questo malware include il furto dell’elenco dei contatti degli utenti, file e foto. Nonostante il target primario, anche le aziende non devono essere ritenute “fuori dai guai”, poiché gli aggressori mirano anche ad account aziendali (i quali spesso sono la chiave per accedere ai conti bancari).
Le informazioni raccolte dal malware, nonché il successivo controllo sul dispositivo della vittima, consentono agli hacker di eseguire attacchi di social engineering più complessi. Il trojan può essere utilizzato per raccogliere nomi utente e password per riutilizzarli al fine di accedere al sistema dell’azienda in cui la vittima lavora. In questo caso anche l’autenticazione a due fattori quale sistema di verifica ulteriore potrebbe fallire: il malintenzionato potrebbe sia inviare la richiesta principale, sia visualizzare l’sms avendo precedentemente preso il controllo del dispositivo.
Il consiglio di Talos per le aziende è quello di implementare l’autenticazione a due fattori basata sul client. Una delle caratteristiche più impressionanti di questo malware è la sua resilienza. Se il server di comando e controllo viene rimosso, l’operatore malevolo può comunque recuperare il controllo del malware inviando messaggi sms direttamente ai dispositivi infetti. Ciò rende molto più difficile la rimozione e il recupero della rete e rappresenta una sfida considerevole per chi dovrà elaborare un sistema di difesa.