DroidBot: il Trojan che attacca i conti di 14 banche italiane

Un nuovo pericolo minaccia i conti correnti degli utenti Android in Europa, compresi milioni di italiani. Si chiama DroidBot ed è un Trojan di ultima generazione, scoperto dalla società di cybersicurezza Cleafy a fine ottobre 2024.

Questo malware bancario, ancora in fase di sviluppo, si distingue per la sua sofisticatezza e per l’utilizzo di tecniche innovative che lo rendono una minaccia particolarmente insidiosa.

Come funziona DroidBot

DroidBot è un RAT (Remote Access Trojan) che combina le classiche funzionalità di VNC nascosto e overlay attack con capacità tipiche degli spyware, come il keylogging e il monitoraggio dell’interfaccia utente.

In parole molto più semplici, DroidBot non solo può controllare a distanza il dispositivo infetto, ma è anche in grado di rubare dati sensibili come credenziali di accesso a tutti gli account online, comprese le informazioni per accedere ai conti correnti online.

Ciò che rende DroidBot particolarmente pericoloso è la sua capacità di comunicare attraverso due canali distinti: MQTT per l’invio di dati verso l’esterno e HTTPS per la ricezione di comandi. Questa strategia rende il malware più resistente ai tentativi di neutralizzazione e più difficile da individuare.

L’analisi dei campioni di DroidBot ha rivelato l’esistenza di un’infrastruttura Malware-as-a-Service (MaaS, in pratica il virus viene affittato a canone mensile), con 17 gruppi di affiliati identificati, ognuno con un identificativo univoco.

Alcuni di questi gruppi sembrano collaborare o partecipare a sessioni dimostrative delle capacità del malware, il che suggerisce un livello di organizzazione e coordinamento piuttosto elevato.

L’origine del virus, da alcuni commenti scritti all’interno del codice, sembrerebbe però turca.

Come si diffonde DroidBot

Per indurre le vittime a scaricare e installare DroidBot, gli aggressori utilizzano esche comuni, come applicazioni di sicurezza generiche, servizi Google o app bancarie popolari. Una volta installato, DroidBot abusa dei servizi di accessibilità di Android per svolgere le sue funzioni dannose.

Tra le capacità più pericolose di DroidBot, ci sono l’intercettazione degli SMS, il keylogging, l’overlay attack, la registrazione periodica di screenshot e il controllo remoto del dispositivo.

Sono già state identificate app fake di 77 banche e istituti finanziari di vari paesi, ben 14 anche in Italia:

• Credem
• Intesa Sanpaolo
• Mediolanum
• Banca Sella
• Banco Popolare
• Unicredit
• Che Banca
• Monte dei Paschi di Siena
• Creval
• Nexi
• Banca Popolare di Sondrio – Scrigno
• Poste Italiane
• Poste Pay
• ING

Se l’utente scarica una di queste app fake e la usa, crede di accedere al proprio conto online ma, in realtà, non fa altro che immettere i dati del conto su una maschera che imita l’app originale. Questi dati vengono poi inviati agli hacker, che possono svuotare il conto in un batter d’occhio.

Il fatto che DroidBot possa spiare a fondo lo smartphone infetto, poi, permette agli hacker di intercettare anche i codici OTP inviati dalle banche via SMS per sbloccare le operazioni di pagamento.

Come proteggersi da DroidBot

Le strategie di difesa contro DroidBot non si discostano molto da quelle raccomandate per contrastare altre minacce simili. La prudenza e l’attenzione rimangono le armi migliori a disposizione degli utenti.

È fondamentale evitare di scaricare applicazioni da fonti non affidabili, affidandosi esclusivamente al Play Store ufficiale e verificando attentamente le autorizzazioni richieste dalle app prima dell’installazione.

Ricordiamo, per l’ennesima volta, che se un’app chiede l’autorizzazione per usare i servizi di accessibilità, allora c’è qualcosa che non va.

Inoltre, è importante prestare attenzione ai messaggi sospetti, come SMS o email che invitano a scaricare allegati o a cliccare su link sconosciuti.

Mantenere il sistema operativo del proprio dispositivo Android sempre aggiornato, poi, è cruciale per beneficiare delle ultime patch di sicurezza.

L’installazione di una soluzione di sicurezza mobile affidabile può fornire un ulteriore livello di protezione, aiutando a individuare e bloccare eventuali minacce.