Scoperta da Kaspersky Lab una modifica del Trojan Faketoken per il mobile banking che è in grado di criptare i dati degli utenti. Nascondendosi in diversi programmi e giochi, tra cui Adobe Flash Player, la versione modificata del Trojan può anche rubare le credenziali di oltre 2.000 applicazioni finanziarie Android. Ad oggi, il Faketoken modificato ha colpito più di 16.000 vittime in 27 Paesi, di cui la maggior parte in Russia, Ucraina, Germania e Tailandia.
La nuova funzionalità di criptazione dei dati è inusuale in quanto solitamente la maggior parte dei ransomware per mobile si concentra sul bloccare i device invece dei dati, poiché questi sono generalmente archiviati sul cloud. Nel caso di Faketoken, i dati – inclusi i documenti e i file media come foto e video – vengono criptati utilizzando un algoritmo simmetrico AES di crittografia che può, in alcuni casi, essere decriptato dall’utente attraverso il pagamento di un riscatto.
Durante il processo di infezione iniziale, il Trojan chiede i diritti di amministratore, il permesso di sovrapporsi ad altre app o di diventare un’applicazione di default per gli SMS – spesso lasciando gli utenti con poca o nessuna scelta se non quella di accettare. Tra le altre cose, questi diritti consentono a Faketoken di rubare i dati: sia direttamente, come i contatti e i file, sia indirettamente, attraverso pagine di phishing.
Il Trojan è stato creato per rubare i dati su scala internazionale: una volta acquisiti i diritti necessari, scarica un database dal suo server di comando e controllo contenente frasi in 77 lingue diverse per le differenti localizzazioni dei device. Queste vengono usate per creare messaggi di phishing al fine di ottenere le password degli account degli utenti Gmail. Il Trojan può anche sovrapporsi al Google Play Store, mostrando una pagina di phishing per ottenere le credenziali delle carte di credito degli utenti: può infatti scaricare una lunga lista di applicazioni per colpire, nonché una pagina di template HTML per generare pagine di phishing per le app rilevanti. I ricercatori di Kaspersky Lab hanno svelato una lista di 2.249 applicazioni legittime.
La cosa particolare è che il Traojan Faketoken modificato tenta anche di sostituire con le proprie versioni gli shortcut di applicazioni per i social media, messaggistica istantanea e browser. La ragione per cui ciò avviene non è ancora chiara poiché le icone di sostituzione conducono alle stesse applicazioni legittime.
“L’ultima modifica del Trojan Faketoken per mobile banking è interessante perché alcune delle nuove funzionalità sembrano garantire benefici aggiuntivi limitati per i cyber criminali. Questo non significa che non vadano presi sul serio. Potrebbero essere semplicemente una base per sviluppi futuri o rivelare le innovazioni continue di una famiglia di malware di successo e sempre in evoluzione. Facendo conoscere la minaccia, possiamo neutralizzarla e aiutare a tenere utenti, device e dati al sicuro” ha affermato Roman Unuchek, Senior Malware Analyst di Kaspersky Lab.
