Scoperte nuove varianti del malware che colpisce i dispositivi mobile; scoperti nuovi casi in Francia, Italia e Regno Unito

GravityRAT aggiunge Android alla lista degli obiettivi

Riltok, il malware mobile per il furto di denaro, sta ampliando il proprio raggio d’azione dalla Russia al resto del mondo, partendo proprio dall’Europa, con varianti sempre nuove. In Francia, Italia e Regno Unito, ad esempio, il malware cerca di emulare dei servizi online noti. Riltok è stato rilevato per la prima volta a metà 2018.

Riltok è un Banking Trojan. I Banking Trojan costituiscono una pericolosa minaccia per chi usa uno smartphone: sono progettati per ottenere l’accesso agli account finanziari e ai beni delle vittime, grazie al furto delle credenziali usate per il login e al “dirottamento” delle sessioni di online banking. Questi trojan assumono spesso le sembianze di servizi online e applicazioni legittime; in questo modo inducono l’utente all’installazione sui loro dispositivi e all’inserimento, poi, di credenziali di accesso e di dati personali.

Nel caso del Trojan Riltok (il cui nome deriva da “Real Talk”), l’attacco avviene di solito in questo modo: l’utente riceve un SMS con un link che porta ad un finto sito web, che ricorda molto da vicino una pagina online per il free advertising. Il sito invita l’utente a installare la nuova versione della app mobile del servizio: quest’ultima, in realtà, non è altro che il malware Riltok. Una volta che il malware è stato scaricato sul dispositivo e ha ricevuto le autorizzazioni necessarie dalla vittima stessa, diventa di default la app per ricevere e visualizzare gli SMS. Questo fa sì che i cybercriminali possano avere accesso a tutti i messaggi, oltre che ai codici per convalidare le operazioni con le carte di credito; il malware, inoltre, procede all’invio di SMS ad altri contatti, diffondendosi ulteriormente.

Le principali finalità del malware comprendono:

  • il furto delle informazioni delle carte di credito, grazie alla visualizzazione di una schermata con una versione fake dello store Google Play e alla richiesta, alla vittima, di inserimento delle informazioni relative alle proprie carte di credito. Il malware addirittura esegue una sorta di controllo basic per verificare che le informazioni fornite siano effettivamente corrette, come, ad esempio, il conteggio del numero delle cifre inserite per la carta.
  • il furto delle credenziali di accesso al proprio account bancario, grazie alla visualizzazione di una schermata che emula una app per il banking online o aprendo una pagina di phishing nel browser.
  • l’occultamento delle attività e delle impostazioni di altre app, come le soluzioni o le impostazioni dedicate alla sicurezza stessa del dispositivo.
  • l’occultamento di notifiche che arrivano dalle app bancarie legittime.

Fino ad oggi gli esperti di Kaspersky hanno individuato circa 4.000 utenti colpiti da questo malware, per lo più in Russia, ma anche in Italia, Francia e Regno Unito.

“Secondo le nostre ricerche, il malware Riltok è stato diffuso in modo lento, ma sistematico, soprattutto in Russia. Ci aspettiamo di osservare un incremento degli attacchi dal momento che i cybercriminali responsabili di questa minaccia stanno man mano allargando il loro raggio d’azione, prendendo di mira nuovi Stati e nuovi continenti, a cominciare dall’Europa. Ci siamo trovati davanti scenari di questo tipo in tante occasioni; secondo la nostra esperienza, dopo che un gruppo ha creato un malware di successo e lo ha testato in Russia, questo viene riadattato in modo da essere in grado colpire anche vittime anche in altri paesi e muoversi in nuovi territori. Di solito, minacce di questo tipo finiscono col diventare di portata mondiale”, ha commentato Tatyana Shishkova, Security Researcher di Kaspersky.

Per proteggersi dai malware di natura finanziaria, incluso il Trojan Riltok, gli esperti di sicurezza di Kaspersky consigliano agli utenti di:

  • Non cliccare mai su link sospetti all’interno degli SMS.
  • Bloccare l’installazione di programmi provenienti da fonti sconosciute e installare app solo se provenienti da app store ufficiali.
  • Fare sempre attenzione alle autorizzazioni richieste dalle app. Se l’autorizzazione sembra non essere in linea con le funzioni della app stessa e richiede comunque un’attivazione, si consiglia di non utilizzarla.
  • Usare una soluzione di sicurezza solida, in grado di offrire protezione dai software malevoli e dalle loro possibili azioni. La soluzione Kaspersky Internet Security for Android, ad esempio, può aiutare a proteggersi da minacce informatiche di questo tipo.