Il nuovo malware Snowblind, utilizza una tecnica innovativa per sfruttare alcune funzionalità del sistema operativo Android compromettendo così le app bancarie. Secondo l’azienda che ha scoperto questo malware, Promon, esso è efficace su tutti i dispositivi Android, inclusi anche quelli con maggiori misure di sicurezza.
Indice:
Snowblind è il primo malware di questo genere
Snowblind sembra essere uno dei malware bancari per Android più avanzati, che utilizza alcune tecniche innovative per non essere rilevato all’interno dello smartphone. Questo malware manipola una funzionalità di sicurezza del kernel linux, integrata nel sistema operativo Android, chiamata “seccomp” (secure computing). Questa funzionalità è in grado di controllare ciò che un’app è autorizzata a fare limitando le richieste che essa può fare al sistema operativo.
Questo nuovo malware si basa sull’utilizzo improprio dei servizi di accessibilità ottenendo così l’accesso a livello di sistema così da compiere attività dannose senza che l’utente ne sia consapevole. Siccome, come ben sappiamo, Android dispone di misure di sicurezza in grado di rilevare servizi di accessibilità malevoli, Snowblind modifica le app così da non essere rilevato, utilizzando una tecnica non molto nota basata su seccomp.
Tutto questo si traduce in attacchi e attività dannose sul dispositivo, a danno dell’utente. Infatti, possono essere rubate le credenziali di accesso di un’app bancaria e utilizzate per effettuare transazioni non autorizzate.
Il nuovo virus riesce a disattivare anche l’autenticazione a due fattori
Altra funzionalità di questo nuovo malware è quella di poter disattivare le funzionalità di sicurezza come l’autenticazione a due fattori e la verifica biometrica. Può anche rubare informazioni sensibili e dati di transazione dall’app; questi dati possono essere, poi, sfruttati per attività fraudolente in un secondo momento.
La società di sicurezza ha scoperto che Snowblind per Android è stato progettato per colpire le app bancarie Android nel Sud-Est asiatico. La tecnica utilizzata potrebbe essere ben presto ampliata per poter ideare più tipi di exploit e attacchi. A peggiorare la situazione è la tecnica utilizzata, nuova e sconosciuta, e proprio per questo la maggior parte delle app moderne manca di protezione contro di essa.
In atto già alcune misure protettive contro il nuovo malware
Promon, società di sicurezza informatica, dichiara di aver sviluppato opportune misure protettive contro questo nuovo malware, Snowblind, compreso la difesa contro potenziali varianti di attacchi e malware basati su seccomp. La sua nuova piattaforma Promon SHIELD offre la possibilità agli sviluppatori di utilizzare queste funzioni per poter mantenere sicure le proprie app.
La nostra raccomandazione è di prestare sempre attenzione a cosa si scarica e installa, evitando soprattutto le app provenienti da fonti sconosciute. Evitate anche di scaricare file da siti web sospetti o tramite link inoltrati. È opportuno visitare sempre il sito ufficiale dello sviluppatore o utilizzare esclusivamente un app store ufficiale per scaricare le app.