Il Phishing passa anche attraverso le applicazioni Android

Phishing-Attack-Launched-from-Android-Market-2

La scorsa settimana i contatti tra il D3Lab e gli istituti di credito hanno permesso il recupero di un complesso sistema di gestione di una Botnet dedicata a carpire le credenziali bancarie degli utenti. Sono stato interpellato durante l’analisi di questo caso con l’incarico di analizzare ogni sfaccettatura dell’attacco, ricevuti i file è stato possibile installarli su una macchina di test che ci permettesse di esaminarne il funzionamento.

Non voglio soffermarmi oltre sugli aspetti tecnici, ma bensì su una tipologia di attacco che i malviventi attuano ai danni degli utenti Android. Trattandosi di un attacco non convenzionale credo che rispecchierà una nuova frontiera per i Phisher ed ho deciso di documentare l’accaduto per sensibilizzare l’attenzione degli utenti.

I malcapitati utenti venivano invitati tramite pagine web dedicate ad hoc o tramite l’invio di SMS ad installare una applicazione dedita alla protezione dei propri dati personali e alla criptazione di essi, ma tale applicazione realmente è stata sviluppata con l’intento di sottrarre le credenziali che gli utenti digitavano sul Browser del proprio Smartphone. Il servizio online AndroTotal ci dimostra come 4 Antivirus su 6 riportano come malevole tale applicativo.

Homepage_Phishing_Android

La precedente immagine, volutamente oscurata in alcune parti, vi riportata l’homepage del pannello online di gestione dei bots Android in cui vengono configurati alcuni servizi fondamentali per il buon esito dell’attacco. Come potrete notare è possibile impostare il servizio Jabber così che l’attaccante possa ricevere istantaneamente la notifica di avvenuta acquisizione di credenziali (username, password e token) e velocemente possa ripetere il login dal suo terminale con un codice token ancora valido. Inoltre è possibile configurare un servizio SMSc per l’invio di SMS, impostare il testo del messaggio di testo e il link per il download dell’applicazione.

Bots_Phishing_Android

L’elenco dei bots/vittime ci riporta le credenziale carpite, l’indirizzo IP, l’eMail, il numero di cellulare e il sistema operativo della vittima oltre alla data di acquisizione delle credenziali.

 

Credenziali_Phishing_Android

Infine per ogni vittima è possibile aprire un pannello dedicato dove poter leggere le credenziali e il sito internet fonte di tali dati.