Attenzione ai download di app mobile

RSA è venuta a conoscenza di una nuova campagna di attacchi malware indirizzata agli utenti finali delle applicazioni di online banking, che potrebbero dare luogo a transazioni elettroniche fraudolente dagli account delle vittime. L’attacco sfrutta un’app di hijack degli SMS basata su Android, a cui è stato applicato il marchio o la personalizzazione di RSA SecurID per renderla credibile. L’attacco è indirizzato esclusivamente ai proprietari di dispositivi mobile Android. Al momento i dispositivi Apple risultano immuni. L’attacco si svolge come segue:

  1. Il malware trojan viene implementato nel sistema della vittima.
  2. In seguito, quando la vittima si connette a un’applicazione di online banking che utilizza una one-time password (OTP) per autenticare i trasferimenti di denaro, tramite il trojan viene visualizzato un messaggio in cui si consiglia di scaricare una finta app RSA SecurID, che di fatto è un’app di hijack degli SMS basata su Android a cui è stato applicato il marchio o la personalizzazione di RSA SecurID.
  3. Il trojan richiede alla vittima di inserire il numero di telefono del dispositivo mobile Android e invia a tale dispositivo un SMS contenente un link per il download della finta app RSA SecurID (da un sito diverso da quello ufficiale, ovvero Google Play Store).
  4. Dopo che la vittima ha scaricato e installato la finta app, l’attacker inizia un trasferimento di denaro dall’account dell’utente finale.
  5. Quando l’applicazione di online banking risponde inviando un SMS con la OTP al dispositivo mobile dell’utente, il malware intercetta il messaggio per impedire che venga visto dall’utente.
  6. L’attacker immette quindi la OTP intercettata nell’applicazione per completare la transazione fraudolenta.

Occorre sottolineare che RSA limita da sempre il download delle sue app mobile agli app store ufficiali della piattaforma, per garantire la sicurezza e l’affidabilità di tali app. In questo caso, il fatto che l’app sia stata scaricata da un sito diverso da Google Play Store indica chiaramente che non è autentica. L’Anti Fraud Command Center (AFCC) di RSA provvede a identificare e chiudere i siti di download delle app mobile RSA non autorizzate e sta adottando le misure necessarie per bloccare questa nuova campagna.

Questo metodo di attacco non è né nuovo, né limitato all’ambito potenziale dei soli clienti RSA, ma può essere bloccato in vari punti tramite adeguate misure di igiene informatica. Per difendersi efficacemente, i clienti di RSA (e i rispettivi clienti) possono:

  • Evitare di scaricare app mobile RSA da qualunque sito diverso dallo store ufficiale della piattaforma per il dispositivo (ad esempio Google Play, App Store Apple e così via).
  • Prestare attenzione ai possibili attacchi di ingegneria sociale. In questo caso, il malware richiede all’utente finale di inserire il numero di telefono di un dispositivo mobile, che molto probabilmente la banca possiede già.
  • Utilizzare soluzioni avanzate di rilevamento e correzione anti-malware, come RSA ECAT o soluzioni commerciali per i dispositivi aziendali, al fine di limitare i possibili danni di un attacco trojan.
  • Verificare che il software anti-malware/anti-virus sia sempre aggiornato, che i firewall siano abilitati e che i dispositivi non siano stati resi rooted.

Post redatto in collaborazione con Kenn Chong, Principal Product Manager – SecurID/Via.

No Comments