I trojan bancari

Con il termine “trojan bancari” si indica una categoria di malware che mira a rubare le credenziali bancarie delle vittime ed effettuare frodi online provocando solitamente ingenti danni economici.

 

Dridex: cos’è e cosa sono i trojan bancari

Dridex è un malware di questa famiglia e, come trojan bancario, è tipicamente utilizzato per assicurare cospicui guadagni finanziari ai criminali digitali.

Dridex è stato creato nel 2015 dal codice sorgente del trojan bancario Bugat, noto anche come Cridex, ma da allora sono state diffuse diverse varianti.

Gli autori di Dridex, “Evil Corp”, fanno parte di una cyber gang russa che sembra conduca uno stile di vita piuttosto sontuoso, eludendo anche i controlli delle forze dell’ordine.

Anche se l’obiettivo primario di Dridex è rubare le informazioni bancarie alle vittime, i criminali informatici negli ultimi dieci anni lo hanno continuamente aggiornato tanto che dal 2020 è utilizzato anche per inviare ransomware capaci di massimizzare i guadagni dei suoi utilizzatori.

A causa di Dridex, utenti negligenti o distratti possono trovarsi addebiti illeciti sulle carte di credito, trasferimenti dai conti aziendali e persino violazioni di dati aziendali che possono compromettere l’intera rete e la base di clienti di un’azienda.

La compromissione di dati personali potrebbe invece portare gli attaccanti a perpetrare reati di furto di identità e frodi di vario genere.

 

I trojan bancari bypassano l’autenticazione a due fattori?

Le password SMS monouso, da sole, non sono sufficienti a proteggere in modo affidabile la propria mobile bank da eventuali attacchi di trojan bancari.

L’autenticazione a due fattori via SMS viene ampiamente utilizzata dalle istituzioni bancarie.

Ovviamente, questa misura funziona meglio di una semplice password, ma non è impenetrabile.

Gli esperti di sicurezza hanno scoperto 10 anni fa come può essere raggirata, quando questa misura di sicurezza stava da poco guadagnando popolarità.

Lo stesso vale per i creatori di malware. Ecco perché gli sviluppatori di trojan bancari violano con facilità le password SMS monouso.

 

Metodologia di attacco

Ecco come funziona:

  1. Un utente apre una app bancaria ufficiale sul suo smartphone;
  2. Un trojan rileva quale app sia utilizzata e sovrappone alla sua interfaccia una copia falsa (la schermata fraudolenta è uguale a quella vera);
  3. La vittima inserisce le credenziali d’accesso nella app falsa;
  4. I malviventi richiedono una transazione finanziaria al loro conto;
  5. Il trojan invia le credenziali dell’utente ai criminali, che se ne servono per eseguire il login nell’app bancaria vera dell’utente;
  6. Il telefono della vittima riceve un SMS con la password monouso;
  7. Il trojan estrae la password dall’SMS e la invia ai cybercriminali;
  8. Inoltre nasconde l’SMS all’utente, questo affinché la vittima non sia a conoscenza delle operazioni in corso finché il suo conto corrente e le transazioni non siano sotto controllo;
  9. I criminali usano la password intercettata per confermare la transazione e ricevere il denaro della vittima.

 

Adattabilità dei trojan bancari

Non è affatto un’esagerazione dire che ogni moderno trojan bancario sa come raggirare i sistemi di autenticazione a due fattori con SMS.

In effetti, i creatori di malware non hanno altra scelta: poiché tutte le banche ricorrono a questa misura di sicurezza, i trojan devono essere adattati.

Esistono moltissime app illegali in grado di farlo. Soltanto negli ultimi mesi alcuni esperti di Kaspersky hanno pubblicato tre relazioni dettagliate dedicate a tre diverse famiglie di malware.

Asacub: un’app di spionaggio che si è evoluta in un trojan e ha imparato a rubare denaro dalle mobile bank.

Acecard: un trojan molto potente in grado di sovrapporre le interfacce di quasi 30 app bancarie diverse. A proposito, adesso il malware mobile sta dominando questa tendenza: al principio, i trojan prendevano di mira un’app di una certa banca o servizio di pagamento, ma adesso riescono a falsificare molte app contemporaneamente.

Banloader: un trojan multipiattaforma di origine brasiliana, capace di introdursi nei PC e nei dispositivi mobili simultaneamente.

 

Come proteggersi?

Da quanto si è visto, l’autenticazione a due fattori non è in grado di proteggere al 100% dai trojan bancari su mobile.

Tuttavia, la situazione non sta migliorando. Ecco perché oggi occorrono ulteriori misure di sicurezza.

La regola di base, utile ma non infallibile, è installare app solo dagli store ufficiali.

Il punto è che ci sono stati abbastanza casi in cui i trojan ci sono riusciti con Play Store o anche App Store.

Ecco perché la soluzione più affidabile è installare un buon antivirus sul cellulare.

Come sempre in questo genere di truffa, il consiglio principale è quello di non fidarsi delle e-mail sospette e non aprirne il contenuto.

Il CSIRT Italia, in questi casi, suggerisce di “verificare scrupolosamente le e-mail ricevute e disabilitare le macro o limitarne le connessioni verso internet, diffidare dagli allegati che invitano ad effettuare azioni come l’abilitazione dei contenuti o dotati di password.

È consigliata fortemente anche la periodica organizzazione di sessioni formative per insegnare come riconoscere le e-mail di phishing.