🇮🇹 App malevola diffusa tramite Phishing e App Store ufficiali

,

Dalla fine del 2019 vi è stato un repentino cambiamento delle campagne di phishing bancario ai danni degli utenti Italiani che hanno introdotto l’utilizzo combinato in maniera massiva di metodiche fino ad allora utilizzate esclusivamente per attacchi mirati, quali:

  • Vishing (Phishing telefonico);
  • Smishing (SMS con contenuto malevolo);
  • Malware (APK malevoli);
  • Spoofing (Falsificazione del CallerID o del mittente del SMS);
  • Domini Ad Hoc (Creazione di nuovi domini similari nel nome all’originale);
  • Numeri Verdi (Utilizzati per rendere le comunicazioni maggiormente affidabili).

Cambia inoltre la figura criminale che non è più straniera ma italiana. Figura fondamentale per un attacco di ingegneria sociale che non viene più solamente diffuso tramite tecnologia digitale ma anche telefonicamente, la conoscenza della madrelingua diventa utile per raggirare al meglio la vittima e condurla step by step ad eseguire azioni indesiderate.

Conseguentemente son cresciute anche repentinamente le campagne di phishing, raggiungendo anche più di 800 distinte campagne a settimana verso istituti di credito o servizi finanziari italiani.

Campagne di Phishing ai danni di Nexi

Dal mese di Maggio 2022 abbiamo identificato un nuovo attore criminale atto a colpire i clienti di Nexi SpA, la PayTech dei pagamenti digitali in Italia, distinguibile dalla creazione di domini creati Ad Hoc molto fedeli all’originale (usualmente sfrutta TLD differenti ma il dominio contiene univocamente la parola “nexi”, ex nexi[.]shop, nexi[.]club, etc) e un SMS di Phishing ricco di informazioni e dettagli.

È infatti desueto per un phisher scrivere un sms di testo prolisso in cui potrebbero essere molteplici errori ma altresì sperare che l’utente legga le prime parole e colto dal messaggio di avviso clicchi subito sul link. In questo caso abbiamo invece un messaggio ricco di informazioni e dettagli:

NEXI: La tua utenza é stata disabilitata visto che non abbiamo ricevuto nessuna risposta alla nostra richiesta di verificare il tuo profilo online.
Per risolvere subito questo problema e per riabilitare l’uso della tua carta, ti preghiamo di effettuare subito l’aggiornamento dei dati online, altrimenti, la tua utenza verrà bloccata temporaneamente per accertamenti fiscali.
La verifica del tuo profilo può essere effettuata cliccando sul link sottostante:
https://nexi[.]club/s

Ci scusiamo per gli eventuali disagi creati .
Reparto Sicurezza Nexi

Cliccato sul link la vittima viene indirizzata ad un portale di phishing che passo dopo passo gli richiede:

  • Indirizzo Email del proprio account Nexi
  • Password
  • Dati della Carta di Credito (PAN, Scadenza e CVV)

Infine lo avvisa “Per riabilitare l’uso della sua carta, fai clic sul pulsante in basso per scaricare la nuova app di sicurezza.”.

Usualmente l’utente è quindi invitato a scaricare un APK da terze parti che ha il compito di carpire SMS o Notifiche, ma essendo un App fornita da uno store non ufficiale l’utente deve seguire una procedura non standard e a volte potrebbe capire che si tratta di una applicazione malevola.

Applicazione Malevole negli store ufficiali

Da Maggio 2022 questo team criminale è invece riuscito a farsi approvare un applicazione sul Google Play Store e sul Huawei AppGallery al fine di rendere l’installazione molto più semplice e garantire all’utente maggior fiducia nella sua installazione.

L’applicazione presente negli store ufficiali, denominata PSD2 Protector o PSD2 Auth Protector, si propone come strumento volto a mettere in sicurezza lo smartphone dell’utente. Proteggendo l’utente da virus, ransomware, malware e altre minacce online quando si effettuano operazioni bancarie e acquisti online.

Applicazione presente in Huawei AppGallery
Applicazione presente sul Google Play Store


Terminata l’installazione l’App richiedere l’accesso alle notifiche dell’utente e per invogliarlo a rilasciare tale autorizzazione mostra alla vittima il seguente messaggio:


“PSD2 Protector ha bisogno di questa autorizzazione per rendere i pagamenti più fluidi e per garantire che non venga effettuato l’accesso al codice di sicurezza da parte di terzi.”

Ottenuta tale autorizzazione procede a inoltrare ai criminali ogni notifica che l’utente ha ricevuto, dal SMS di testo, alla notifica dell’Applicazione Bancaria, al messaggio su WhatsApp, etc etc.

L’intento è palesemente quello di carpire SMS o Notifiche autorizzative contenenti codici OTP e poter quindi disporre illeciti pagamenti sulle carte di credito delle vittime.

Analisi APK

Analizzando più nel dettaglio l’applicazione avente come Package Name adv.roma.sll.app rileviamo che di default richiede i seguenti permessi:

Android Manifest

Successivamente come in precedenza indicato richiede all’utente di poter accedere a tutte le notifiche:

Accesso alle notifiche della vittima


La comunicazione tra l’applicazione e il criminale avviene tramite MySQL sfruttando il servizio di Free MySQL Hosting. Di seguito la funzione che verrà richiamata ogni qualvolta dovrà essere comunicato una nuova informazione al C2:

Connessione con database SQL remoto


Procede quindi a comunicare al C2 del phisher l’avvenuta installazione di una nuova applicazione:

Comunicazione con il C2

Qualora l’utente dovesse ricevere una nuova notifica l’applicazione procederà a carpirne il contenuto e a inviarlo al server C2:

Comunicazione di eventuali notifiche ricevute sullo smatphone della vittima

L’applicazione risulta inoltre predisposta a inviare SMS e ad eseguire screenshot anche se attualmente tali funzioni non risultano in uso.

Indicatori di Compromissione (IoC)

  • PSD2 Protector_3.0.apk
    • MD5: 1ff39d2651c218009886339d213c8353
    • SHA1: 6bbe80e056472b56fdb718aa815e25bd1f93b921
    • SHA256: bd622ee1c8f06a6339e7d7a468ad4e52bead583c326b16d0a8dd1e6ad452e886
  • PSD Auth Protector_3.0.apk
    • MD5: 95d33595783ede50bd428a18823ca0a9
    • SHA1: eb32d6ae8ef6d4f5c8c408d5b1556d9b89b8b514
    • SHA256: 9b8a806dc3bf50984944140c502c02f87d5661927e8172da60b506e9b41ec2b5
  • nexi[.]shop
  • nexi[.]network
  • nexi[.]team
  • nexi[.]zone
  • nexi[.]center
  • nexigroupeicbpi[.]com
  • nxinc[.]info
  • nexiweb[.]online
  • contractinfos[.]com
  • ccstoune[.]info
  • euronames[.]business
  • avnet[.]atwebpages[.]com
  • nexi[.]cc
  • nexi[.]club
  • nexinc[.]online

Disclosure Timeline

  • 01/06/2022: D3Lab ha avvisato Google della presenza di un applicazione malevola nel loro App Store;
  • 01/06/2022: D3Lab ha avvisato Huawei della presenza di un applicazione malevola nel loro App Store;
  • 02/06/2022: L’applicazione è stata rimossa dall’App Store Google e Huawei!
/da
Potrebbero interessarti
Campagna di Phishing ai danni di Tophost
Falsa Fattura Vodafone distribuisce Cerber Ransomware
Phishing Intesa San Paolo CoronaVirusCoronaVirus: Campagna di Phishing per la tutela dei clienti della banca con WebChat interattiva
Phishing ai danni di Virgilio eMail con dominio Ad-hoc
Campagna di phishing ai danni di Autostrade per l’Italia
Campagna di Phishing ai danni degli utenti Hype
Campagna di Phishing ai danni di Deliveroo
Phishing Banca Popolare di Sondrio