Kaspersky Lab: il Trojan Faketoken aggiunge la crittografia dei dati e mira a oltre 2.000 app

redazione

La nuova funzionalità di criptazione dei dati è inusuale in quanto solitamente la maggior parte dei ransomware per mobile si concentra sul bloccare i device piuttosto che i dati, poiché questi sono generalmente archiviati sul cloud. Nel caso di Faketoken, i dati – inclusi i documenti e i file media come foto e video – vengono criptati utilizzando un algoritmo simmetrico AES di crittografia che può, in alcuni casi, essere decriptato dall’utente attraverso il pagamento di un riscatto.

Durante il processo di infezione iniziale, il Trojan chiede i diritti di amministratore, il permesso di sovrapporsi ad altre app o di diventare un’applicazione di default per gli SMS – spesso lasciando gli utenti con poca o nessuna scelta se non quella di accettare. Tra le altre cose, questi diritti consentono a Faketoken di rubare i dati: sia direttamente, come i contatti e i file, sia indirettamente, attraverso pagine di phishing.

Il Trojan è stato creato per rubare i dati su scala internazionale: una volta acquisiti i diritti necessari, scarica un database dal suo server di comando e controllo contenente frasi in 77 lingue diverse per le differenti localizzazioni dei device. Queste vengono usate per creare messaggi di phishing al fine di ottenere le password degli account degli utenti Gmail. Il Trojan può anche sovrapporsi al Google Play Store, mostrando una pagina di phishing per ottenere le credenziali delle carte di credito degli utenti: può infatti scaricare una lunga lista di applicazioni per colpire, nonché una pagina di template HTML per generare pagine di phishing per le app rilevanti. I ricercatori di Kaspersky Lab hanno svelato una lista di 2.249 applicazioni legittime.

La cosa particolare è che il Traojan Faketoken modificato tenta anche di sostituire con le proprie versioni gli shortcut di applicazioni per i social media, messaggistica istantanea e browser. La ragione per cui ciò avviene non è ancora chiara poiché le icone di sostituzione conducono alle stesse applicazioni legittime. 

“L’ultima modifica del Trojan Faketoken per mobile banking è interessante perché alcune delle nuove funzionalità sembrano garantire benefici aggiuntivi limitati per i cyber criminali. Questo non significa che non vadano presi sul serio. Potrebbero essere semplicemente una base per sviluppi futuri o rivelare le innovazioni continue di una famiglia di malware di successo e sempre in evoluzione. Facendo conoscere la minaccia, possiamo neutralizzarla e aiutare a tenere utenti, device e dati al sicuro” ha affermato Roman Unuchek, Senior Malware Analyst di Kaspersky Lab.

Kaspersky Lab consiglia agli utenti Android di seguire i seguenti passaggi per proteggersi dagli attacchi del Trojan Faketoken e dalle altre minacce malware:

·             Assicurarsi che tutti i dati siano stati archiviati.

·             Non acconsentire automaticamente al trattamento dei diritti e permessi quando le app lo richiedono – accertarsi di cosa viene chiesto e perché.

·             Installare una soluzione anti malware su tutti i device e tenere i software OS aggiornati.

Kaspersky Lab ha individuato diverse migliaia di pacchetti di installazione Faketoken in grado di criptare i dati, i primo dei quali risale a luglio 2016. I prodotti di Kaspersky Lab individuano tutte le modifiche della famiglia di malware Faketoken.