LOGIN
In Breve (TL;DR)
- DroidBot è un trojan che colpisce dispositivi Android, infiltrandosi nelle app bancarie per rubare credenziali e svuotare conti, con tecniche come keylogging e overlay per ingannare gli utenti.
- Per proteggersi, è fondamentale evitare di installare app da fonti non ufficiali, aggiornare regolarmente i dispositivi e utilizzare antivirus affidabili per rilevare e bloccare minacce.
Nelle ultime settimane un numero sempre crescente di utenti europei, italiani inclusi, si sta scoprendo vittima di DroidBot: un nuovo malware che svuota il conto in banca.
DroidBot è il nome di una nuova minaccia per la sicurezza informatica: trojan capace di insediarsi all’interno delle app bancarie (ma non solo), di ottenere le credenziali di accesso della vittima e di prendere il controllo dei dispositiviAndroid in uso.
Dal punto di vista tecnico, DroidBot non sembra più avanzato di altri malware, per lo meno allo stato attuale. A preoccupare sono soprattutto le sue modalità di diffusione, che prevedono la sottoscrizione di abbonamenti per cybercriminali e addirittura l’attivazione di un supporto tecnico.
Cos’è il droidbot che svuota il conto in banca
Il termine “droidbot” potrebbe a breve entrare nel linguaggio comune, ma ad oggi è fondamentalmente un nome proprio: DroidBot è infatti il nome di un nuovo malware che prende di mira i dispositivi con sistema operativo mobile Android.
Più precisamente DroidBot è un trojan: un programma malevolo che, all’apparenza, sembra un software innocuo. Come il celebre cavallo di Troia, anche i trojan sono pensati per immettersi nei sistemi delle vittime.
Una volta installato e attivato, il trojan permette all’hacker che lo ha realizzato di compiere azioni più o meno pericolose, tanto a danno della vittima quanto del suo dispositivo.
Nel caso di DroidBot, i malintenzionati sono addirittura in grado di derubare le vittime, entrando nei software con cui gestiscono le loro finanze: dalle app bancarie alle piattaforme crypto.
Il trojan ha catturato l’attenzione della stampa specializzata innanzitutto per il sistema di comunicazione a doppio canale per il comando e controllo.
Da una parte trojan invia i dati rubati attraverso protocollo MQTT, dall’altra riceve comandi diretti tramite HTTPS. Questo particolare mix di tecnologie rende particolarmente complessa l’identificazione del malware.
Come funziona l’attacco di DroidBot
Il modello di diffusione di DoridBod sta venendo descritto con l’acronimo Maas, che sta per Malware-as-a-Service e che permette a diversi cybercriminali di pagare per utilizzarlo.
Ad oggi gli “iscritti” a DroidBot sottoscrivono una specie di abbonamento da 3.000 dollari al mese per sfruttare il trojan e possono addirittura rivolgersi a un supporto tecnico attraverso canali Telegram dedicati.
Dal punto di vista della programmazione, questo trojan non sembra essere più complesso di altri. Innanzitutto utilizza tecniche di keylogging per registrare le azioni compiute dall’utente.
Ma è anche in grado di eseguire il cosiddetto overlay, ovvero la sovrapposizione di una nuova schermata: l’escamotage perfetto per spingere la vittima a condividere le sue credenziali.
DroidBot viene inoltre utilizzato per catturare schermate reali del dispositivo infetto e addirittura per intercettare SMS provenienti da altre fonti.
Infine è bene sottolineare che il trojan potrebbe diventare ancora più pericoloso col passare del tempo. Alcuni esperti hanno segnalato l’integrazione di funzioni segnaposto, che lasciano immaginare come DroidBot sia ancora in fase di sviluppo.
