Il panorama delle minacce per Android, come spesso vi raccontiamo sulle nostre pagine, non accenna ad arrestare la sua espansione e questa volta si arricchisce di un nuovo e pericoloso attore.
Per citare alcune minacce simili,a settembre avevamo parlato di Brokewell, un malware capace persino di aggirare i codici generati da Google Authenticator, rendendo inefficace l’autenticazione a due fattori. A novembre era toccato a Sturnus, che si nascondeva in APK camuffati da app note come Chrome. E, infine, qualche settimana fa vi avevamo parlato di Rokarolla, il trojan Android in grado di prendere il controllo del telefono e rubare credenziali bancarie.
Ora, però, i ricercatori di Zimperium hanno scoperto qualcosa di ancora più insidioso e strutturato: un nuovo malware-as-a-service chiamato RedWing, venduto direttamente su Telegram con tanto di livelli di abbonamento, un bot di supporto clienti e video tutorial per l’utilizzo, esattamente come farebbe qualsiasi software commerciale legittimo.
Indice:
Segui TuttoAndroid su Google Discover
Cosa fa RedWing, e perché è così pericoloso
Secondo quanto riportato da Zimperium, RedWing funziona esattamente come un software legittimo. I venditori lo promuovono su Telegram con diversi livelli di abbonamento, un bot di assistenza dedicato e video dimostrativi, il che significa che chi lo acquista non ha bisogno di alcuna competenza di programmazione: basta pagare, guardare qualche tutorial, ed è pronto per essere utilizzato.
Una volta installato, RedWing può causare danni concreti e significativi. Il malware utilizza gli ormai noti overlay di phishing che si sovrappongono alle vere app bancarie e di criptovalute per rubare le password degli utenti, ed è in grado di leggere i messaggi di testo in arrivo per intercettare i codici monouso (OTP) utilizzati per l’autenticazione a due fattori.
Un dettaglio disturbante è che può addirittura reindirizzare silenziosamente le chiamate della vittima verso l’attaccante, sfruttando un vecchio codice degli operatori telefonici che quasi nessuno conosce più, un dettaglio tecnico che testimonia quanto gli sviluppatori dietro RedWing conoscano a fondo l’infrastruttura delle reti mobili.
Chi gestisce RedWing può inoltre osservare in tempo reale lo schermo della vittima, attivare da remoto fotocamera e microfono, e prelevare direttamente dal dispositivo contatti, file e messaggi.
Zimperium sottolinea come il malware faccia leva su funzionalità reali e legittime di Android per mantenere la propria persistenza sul dispositivo ed evitare di essere individuato dai sistemi di sicurezza. Gli attaccanti possono persino riconvertire la stessa infrastruttura per condurre attacchi DDoS, dimostrando quanto RedWing sia stato pensato come una piattaforma versatile e non come un semplice strumento a scopo singolo.
Da dove arriva RedWing e come proteggersi
I ricercatori di Zimperium ritengono che RedWing sia in realtà una versione ricostruita di Oblivion, un altro kit di malware in affitto individuato già lo scorso febbraio e venduto a partire da 300 dollari al mese, capace di aggirare le protezioni di Android dalla versione 8 fino alla 16.
Finora, Zimperium ha censito 82 istituzioni prese di mira da RedWing, con una prevalenza piuttosto marcata verso società finanziarie russe, un dettaglio che suggerisce un focus geografico piuttosto preciso da parte di chi gestisce questa operazione.
Va detto che il sistema del malware-as-a-service non rappresenta di per sé una novità assoluta nel panorama della sicurezza informatica, ma quello che è davvero cambiato, semmai, fa sapere la società di cybersicurezza, è quanto profondamente questo modello si sia ormai radicato nel mondo mobile visto che ormai uno smartphone oggi funge contemporaneamente da portafoglio, da sistema di autenticazione e da casella di posta, il che lo rende un bersaglio particolarmente ghiotto per chi sviluppa questo tipo di minacce, e spiega perché la domanda di strumenti come RedWing continui a crescere tra i criminali informatici con competenze tecniche limitate.
Pur non essendoci al momento contromisure specifiche contro RedWing, restano valide alcune buone pratiche di sicurezza di base che fanno sempre la differenza, e che valgono peraltro per la stragrande maggioranza dei malware Android in circolazione.
Come proteggersi da queste minacce
Anche in questo caso, come vi ricordiamo sempre, le regole da seguire sono poche ma efficaci: non installare app tramite sideloading se sono disponibili sul Google Play Store. Qualsiasi app che si presenta come Google Play Protect o come un componente del sistema operativo e richiede di essere installata manualmente è con ogni probabilità malevola e questi componenti non si installano mai manualmente.
È bene trattare con estrema cautela qualsiasi richiesta di accesso alle funzionalità di accessibilità da parte di app che non sono chiaramente strumenti di accessibilità.
Non concedere permessi avanzati ad app scaricate da link o siti web è una buona abitudine generale. Infine, vale sempre la pena esaminare attentamente le schermate di accesso alle app bancarie e se qualcosa sembra strano o compaiono più richieste di accesso insolite, è meglio chiudere l’app e riaprirla dall’icona ufficiale.
E se un messaggio di testo o un pop-up vi invita ad aggiornare urgentemente un’app, è bene trattarlo come un campanello d’allarme, non come una normale operazione di routine da eseguire distrattamente.
