Il panorama della sicurezza informatica è sempre più complesso e minaccioso, con nuove forme di malware che emergono costantemente. Uno dei più recenti esempi è DroidBot, un trojan di accesso remoto (RAT) per Android che ha preso di mira oltre 77 app bancarie e di criptovalute in Europa. In questo articolo, esploreremo le caratteristiche di DroidBot, come funziona e come proteggersi da questa minaccia persistente.
Caratteristiche di DroidBot
DroidBot è stato rilevato per la prima volta a fine ottobre 2024, con tracce che risalgono a giugno dello stesso anno[2][4]. Questo malware è un esempio di Malware-as-a-Service (MaaS), un modello di distribuzione di software malicioso che offre strumenti avanzati per la sorveglianza e la frode, mirati principalmente a istituzioni finanziarie e organizzazioni governative[1][4].
Funzionalità di DroidBot
DroidBot combina tecniche di attacco sofisticate con funzionalità spyware avanzate. Tra le sue principali caratteristiche, troviamo:
- Keylogging: Captura ogni tastiera premuta dal utente, permettendo agli attaccanti di raccogliere informazioni sensibili[1][2].
- Overlaying: Displaya pagine di accesso fake sopra interfacce legittime delle app bancarie, ingannando gli utenti[1][3].
- SMS Interception: Intercepite i messaggi SMS entranti, in particolare quelli contenenti codici di autenticazione (OTP) per le operazioni bancarie[1][3].
- Virtual Network Computing (VNC): Fornisce la capacità di visualizzare e controllare a distanza i dispositivi infetti, eseguire comandi e oscurare lo schermo per nascondere l’attività maliziosa[1][2].
Comunicazione e Controllo
DroidBot utilizza una comunicazione a doppio canale, trasmettendo dati tramite MQTT (Message Queuing Telemetry Transport) e ricevendo comandi attraverso HTTPS. Questa configurazione migliora la flexibilità operativa del malware e la sua resistenza alle misure di sicurezza convenzionali[2][3].
Obiettivi e Impatto
DroidBot ha preso di mira 77 obiettivi distinti, tra cui banche, exchange di criptovalute e organizzazioni nazionali. Le campagne attive sono state rilevate nel Regno Unito, in Italia, Francia, Spagna e Portogallo[1][3]. L’impatto di queste operazioni è significativo, con potenziali perdite finanziarie e compromissioni di dati sensibili.
Tecniche di Infezione
DroidBot sfrutta anche tecniche di sideloading per infettare i dispositivi, spesso mascherandosi da app legittime come Google Play Store o Chrome. Questo metodo consente ai ciberdelinquenti di convincere gli utenti a scaricare l’app maliziosa, pensando di scaricare un’app legittima[1][3].
Mitigazione del Rischio
Per proteggersi da DroidBot e da altre minacce simili, è importante seguire questi consigli:
- Scarica solo app da Google Play: Evita di scaricare app da fonti non autorizzate, poiché queste possono contenere malware[1][4].
- Scrutinate le richieste di permessi: Quando si installa un’app, scrutinare le richieste di permessi e rifiutare quelle non necessarie, come ad esempio i permessi di accessibilità[1][4].
- Attiva Play Protect: Assicurarsi che Google Play Protect sia attivo sul proprio dispositivo, poiché è un tool di sicurezza integrato che può rilevare e bloccare minacce come DroidBot[1][4].
- Deny i permessi di accessibilità: Se un’app richiede permessi di accessibilità, rifiutare immediatamente, poiché questi permessi possono essere sfruttati per monitorare le azioni dell’utente e simulare interazioni sullo schermo[1][2].
DroidBot rappresenta una minaccia persistente e in continua crescita nel panorama della sicurezza mobile. La sua capacità di combinare tecniche di attacco sofisticate con funzionalità spyware avanzate lo rende un malware molto pericoloso. Tuttavia, seguendo i consigli di sicurezza sopra menzionati, gli utenti possono ridurre significativamente il rischio di essere infettati da questo malware. È importante rimanere vigili e aggiornati sulle ultime minacce per proteggere le informazioni sensibili e le risorse finanziarie.
