Tag Archivio per: android

Inside BTMOB: An Analytical Breakdown of a Leaked Android RAT Ecosystem

During a recent investigation, we obtained access to a multi-package archive containing the complete development toolkit behind the Android malware known as BTMOB RAT. The archive includes the Android payload source code, its dropper, a builder environment, the operator panel for Windows, the command-and-control backend, and all the software dependencies required to deploy the full platform.

Every component is stored inside password-protected ZIP files. While ZIP file headers remain readable without a password, allowing us to inspect the file tree, their binary contents cannot be extracted. We intentionally chose not to acquire or circumvent the passwords, avoiding any action that may financially support or operationally benefit a criminal actor.

Continua a leggere
/da

Malware veicolato tramite falso sito di IT-Alert

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato la diffusione di un malware Android attraverso il servizio di allarme pubblico IT-Alert.

IT-alert è un nuovo sistema di allarme pubblico per l’informazione diretta alla popolazione, che dirama ai telefoni cellulari presenti in una determinata area geografica messaggi utili in caso di gravi emergenze o catastrofi imminenti o in corso.

Continua a leggere
/28 Commenti/da

A Nexi phishing campaign spread malicious App via official Google Play Store

,

D3Lab’s Threat Intelligence Team in its daily activities of analyzing and countering online fraud has detected a phishing campaign sent via SMS to the Italian company Nexi customers (specialises in payment systems) that invited the user to install a malicious application via the official Google Play Store.

Users initially received a text message (smishing) prompting them to check their own Nexi profile to prevent a disabling of the account. If the user clicked on the phishing link, he would see a fake Nexi web page requesting him:

  • Email associated with Nexi account;
  • Password;
  • Codice Fiscale (Italian fiscal code);
  • Credit Card Number, CVV and Expiration Date.

After completing the data entry the victim would saw a pop-up inviting him to download a new security application. The phishing website contained links to the Google Play Store, Huawei App Gallery, and Apple Store. But only the link to the Google Play Store was valid.

Continua a leggere
/da

🇬🇧 Malicious App spread through Italian Phishing and official App Store

,

Since the end of 2019 there has been a change in bank phishing campaigns against Italian users who have introduced the combined use in a massive manner of methods until then used exclusively for targeted attacks, such as:

  • Vishing (telephone phishing);
  • Smishing (SMS with malicious content);
  • Malware (malicious APK);
  • Spoofing (Spoofing of the callerid or sender of the SMS);
  • Ad Hoc Domains (Creating new domains similar in name to the original);
  • Toll Free Numbers (Used to make communications more reliable).

It also changes the criminal figure that is no longer foreign but Italian. A fundamental figure for a social engineering attack that is no longer only spread through digital technology but also by phone, the knowledge of the mother tongue becomes useful to best trick the victim and lead it step by step to perform unwanted actions.

As a result, phishing campaigns have also grown rapidly, reaching more than 800 separate campaigns per week to Italian banks or financial services.

Phishing campaigns against Nexi

Since May 2022 we have identified a new criminal actor which target customers of Nexi SpA, the PayTech of digital payments in Italy, distinguishable from the creation of domains created Ad Hoc very faithful to the original (usually uses different TLDs but the domain uniquely contains the word “Nexi”, ex Nexi[.]shop, Nexi[.]club, etc) and a Phishing SMS full of information and details.

Continua a leggere
/da

🇮🇹 App malevola diffusa tramite Phishing e App Store ufficiali

,

Dalla fine del 2019 vi è stato un repentino cambiamento delle campagne di phishing bancario ai danni degli utenti Italiani che hanno introdotto l’utilizzo combinato in maniera massiva di metodiche fino ad allora utilizzate esclusivamente per attacchi mirati, quali:

  • Vishing (Phishing telefonico);
  • Smishing (SMS con contenuto malevolo);
  • Malware (APK malevoli);
  • Spoofing (Falsificazione del CallerID o del mittente del SMS);
  • Domini Ad Hoc (Creazione di nuovi domini similari nel nome all’originale);
  • Numeri Verdi (Utilizzati per rendere le comunicazioni maggiormente affidabili).

Cambia inoltre la figura criminale che non è più straniera ma italiana. Figura fondamentale per un attacco di ingegneria sociale che non viene più solamente diffuso tramite tecnologia digitale ma anche telefonicamente, la conoscenza della madrelingua diventa utile per raggirare al meglio la vittima e condurla step by step ad eseguire azioni indesiderate.

Conseguentemente son cresciute anche repentinamente le campagne di phishing, raggiungendo anche più di 800 distinte campagne a settimana verso istituti di credito o servizi finanziari italiani.

Campagne di Phishing ai danni di Nexi

Dal mese di Maggio 2022 abbiamo identificato un nuovo attore criminale atto a colpire i clienti di Nexi SpA, la PayTech dei pagamenti digitali in Italia, distinguibile dalla creazione di domini creati Ad Hoc molto fedeli all’originale (usualmente sfrutta TLD differenti ma il dominio contiene univocamente la parola “nexi”, ex nexi[.]shop, nexi[.]club, etc) e un SMS di Phishing ricco di informazioni e dettagli.

Continua a leggere
/da

Phishing bancario predisposto per lo SIM SWAP

Il Phishing ai danni di utenti italiani è notevolmente aumentato dal 2019 ad oggi con un cambiamento di rotta significato nelle informazioni richieste alle vittime e dalle tecniche sfruttate dai criminali per divulgare e frodare le vittime. Per diversi anni l’interesse dei criminali era focalizzato principalmente sulle carte di credito e in minoranza sui dati di login per accedere al home banking; dal 2019 la situazione progressivamente è mutata fino ad oggi dove la stragrande maggioranza delle campagne verte dell’acquisire username e password di accesso al conto corrente online delle vittime.

Campagne di Phishing Italiane

Campagne di Phishing Italiane

L’interesse verso i conti correnti è avvenuto conseguentemente l’introduzione di metodi di pagamento istantanei raramente annullabili, come i bonifici bancari istantanei o pagamenti di bollettini postali, che garantiscono ai criminali un rapido ed efficace metodo di movimentare i soldi sottratti alle vittime. I nuovi sistemi anti-frode e l’introduzione della normativa PSD2 hanno reso più sicuri i conti correnti di tutti i correntisti Europei, i criminali sono stati quindi stimolati a progettare nuove tecniche di phishing più sofisticate che non comprendono più il solo invio di una e-mail ma anche chiamate telefoniche, installazioni di applicazioni sugli smartphone delle vittima e altre tecniche che vedremo in futuro in un articolo dedicato.

Ad oggi quindi al tradizionale sito di phishing viene comunemente affiancata una operazione di Vishing (chiamata da parte di un falso operatore bancario) e l’utilizzo di pannelli di controllo dedicati ai criminali per monitorare l’avanzamento della frode e richiedere in tempo reale alla vittime delle informazioni utili per eseguire operazioni illecite sul conto corrente della vittima.

Continua a leggere

/da

Aggiornamento App: Applicazione malevola per intercettare codici OTP di Intesa San Paolo

Nell’attività di analisi e contrasto al Phishing durante le ultime due settimane abbiamo rilevato la divulgazione di SMS a clienti di Intesa San Paolo i quali invitano gli utenti ad installare un aggiornamento nel proprio smartphone, mediante il seguente messaggio:

Gentile Cliente Gruppo ISP questo è il link per aggiornare l’app di messaggistica e di Intesa San Paolo.

L’aggiornamento veicola una applicazione Android (APK) denominata “Aggiornamento App” ad oggi rilevata in due distinte varianti, com.datiapplicazione.sms e com.sistemaapp.sms.

Continua a leggere

/da

Campagna di Phishing INPS veicola Malware Android

,

Una nuova campagna di Phishing ai danni degli utenti INPS, similare alla precedente del 6 Aprile 2020, è stata rilevata nelle scorse ore dal nostro centro di ricerca e analisi delle campagne di Phishing.

L’attività fraudolenta viene svolta attraverso un dominio web creato Ad Hoc con similitudini, nel nome, a quello ufficiale dell’istituto nazionale della previdenza sociale con l’intento di far scaricare un malware agli utenti interessati a ricevere l’indennità Covid-19 stanziata dallo stato Italiano.

Continua a leggere

/3 Commenti/da

Malware Android Banker Anubis diffuso tramite falsa fattura Enel

D3Lab nella quotidiana azione di analisi e contrasto al Phishing e Malspam ha rilevato nella notte odierna la diffusione di un malware Android della famiglia Banker Anubis mediante falsa fattura di Enel Energia.

L’utente è invitato a visitare un sito web per scaricare la fattura insoluta, nella realtà la fattura è una applicazione in formato APK per il sistema operativo Android.

L’applicazione in realtà nasconde il malware Anubis, un trojan che include un ampia varietà di funzionalità. Anubis è in grado di acquisire screenshot dello smartphone, registrare audio, inviare, ricevere ed eliminare messaggi, acquisire la rubrica telefonica, acquisire le credenziali salvate nel browser ed aprire url.

Continua a leggere

/da

Malware Anubis Android Banking diffuso tramite falsa promozione TIM

D3Lab nella azione costante di monitorare nuove attività di Phishing ai danni degli utenti Italiani ha rilevato in data odierna la diffusione del malware Anubis per smartphone Android mediante una falsa promozione dell’operatore telefonico TIM.

L’utente è invitato a visitare un sito web creato Ad Hoc per attivare una offerta che gli garantisce 10Gb di traffico internet gratuito, per attivarla è necessario scaricare un applicazione Android in formato APK.

L’applicazione in realtà nasconde il malware Anubis, un trojan che include un ampia varietà di funzionalità. Anubis è in grado di acquisire screenshot dello smartphone, registrare audio, inviare, ricevere ed eliminare messaggi, acquisire la rubrica telefonica, acquisire le credenziali salvate nel browser ed aprire url.

Inoltre, il Trojan è in grado di alterare le impostazioni più profonde del dispositivo compromesso abilitando o manomettendo le impostazioni di amministrazione del dispositivo, per visualizzare le attività in esecuzione e creare una backdoor per il controllo remoto attraverso il virtual network computing (VNC).

Invitiamo pertanto gli utenti a visitare il sito ufficiale di TIM per conoscere nuove offerte e non consultare link ricevuti via SMS.

 

IoC (Indicatori di Compromissione):

 

 

 

/da