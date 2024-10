Le minacce in materia di sicurezza sono quelle che destano più preoccupazione, specialmente quando a essere sotto attacco sono le informazioni bancarie. Ed è su questo fronte che arriva l’ultima segnalazione di una campagna, nota con il nome ErrorFather, che tramite sofisticate catene di infezioni colpisce i device Android e può rilevare informazioni sulle credenziali d’accesso e i dati delle carte di credito.

Una vecchia conoscenza del settore torna più aggressiva che mai

La campagna ErrorFather si basa su una versione aggiornata del codice sorgente di Cerberus (dal quale negli anni sono stati sviluppati diversi trojan bancari) e nei mesi scorsi sono stati individuati numerosi campioni di questo trojan bancario che si spacciano per app di Google Chrome e Google Play Store utilizzando le medesime icone delle versioni ufficiali delle applicazioni.

Il campione identificato rilascia e installa un file APK che poi comunica con un URL del bot Telegram e invia informazioni quali il modello del dispositivo, la marca e la versione API. Questi campioni utilizzano un dropper multistadio (un malware che nasconde le sue attività in diverse fasi) per distribuire un payload che registra le sequenze di tasti digitate su un dispositivo per catturare le password.

Il payload utilizza anche attacchi overlay che portano gli utenti a credere di utilizzare un’applicazione sicura ma che in realtà è un overlay dannoso. In questo modo gli aggressori tentato di scoprire le credenziali d’accesso o il numero della carta di credito (ma anche il codice di sicurezza e la data di scadenza della carta). Tra le particolarità di questo trojan c’è anche quella che utilizza la tecnologia Virtual Network Computing (VNC) che consente la condivisione dello schermo così da catturare gli screenshot e inviarli a un server remoto.

Tra gli aspetti interessanti di questo trojan (anche se è estremamente pericoloso) c’è che risulta difficile da individuare su un device infetto e che anche se viene individuato è complesso da rimuovere. L’ultima versione del malware utilizza un dropper che può bypassare le impostazioni limitate; se il server primario non è disponibile può scegliere di comunicare con i server Command and Control (C&C).

Questo malware può simulare le azioni di un utente cliccando sulle varie opzioni e può anche disinstallarsi una volta che gli aggressori hanno completato la loro frode finanziaria.

Cosa fare? Oltre alle solite raccomandazioni di buon senso sul non cliccare mai su link sospetti ricevuti tramite SMS o e-mail è fondamentale scaricare le app solamente dagli store ufficiali. Parallelamente si rivela utile avere Google Play Protect abilitato sul proprio device Android.