Tag Archivio per: android

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato la diffusione di un malware Android attraverso il servizio di allarme pubblico IT-Alert.

IT-alert è un nuovo sistema di allarme pubblico per l’informazione diretta alla popolazione, che dirama ai telefoni cellulari presenti in una determinata area geografica messaggi utili in caso di gravi emergenze o catastrofi imminenti o in corso.

Continua a leggere

D3Lab’s Threat Intelligence Team in its daily activities of analyzing and countering online fraud has detected a phishing campaign sent via SMS to the Italian company Nexi customers (specialises in payment systems) that invited the user to install a malicious application via the official Google Play Store.

Users initially received a text message (smishing) prompting them to check their own Nexi profile to prevent a disabling of the account. If the user clicked on the phishing link, he would see a fake Nexi web page requesting him:

  • Email associated with Nexi account;
  • Password;
  • Codice Fiscale (Italian fiscal code);
  • Credit Card Number, CVV and Expiration Date.

After completing the data entry the victim would saw a pop-up inviting him to download a new security application. The phishing website contained links to the Google Play Store, Huawei App Gallery, and Apple Store. But only the link to the Google Play Store was valid.

Continua a leggere

Since the end of 2019 there has been a change in bank phishing campaigns against Italian users who have introduced the combined use in a massive manner of methods until then used exclusively for targeted attacks, such as:

  • Vishing (telephone phishing);
  • Smishing (SMS with malicious content);
  • Malware (malicious APK);
  • Spoofing (Spoofing of the callerid or sender of the SMS);
  • Ad Hoc Domains (Creating new domains similar in name to the original);
  • Toll Free Numbers (Used to make communications more reliable).

It also changes the criminal figure that is no longer foreign but Italian. A fundamental figure for a social engineering attack that is no longer only spread through digital technology but also by phone, the knowledge of the mother tongue becomes useful to best trick the victim and lead it step by step to perform unwanted actions.

As a result, phishing campaigns have also grown rapidly, reaching more than 800 separate campaigns per week to Italian banks or financial services.

Phishing campaigns against Nexi

Since May 2022 we have identified a new criminal actor which target customers of Nexi SpA, the PayTech of digital payments in Italy, distinguishable from the creation of domains created Ad Hoc very faithful to the original (usually uses different TLDs but the domain uniquely contains the word “Nexi”, ex Nexi[.]shop, Nexi[.]club, etc) and a Phishing SMS full of information and details.

Continua a leggere

Dalla fine del 2019 vi è stato un repentino cambiamento delle campagne di phishing bancario ai danni degli utenti Italiani che hanno introdotto l’utilizzo combinato in maniera massiva di metodiche fino ad allora utilizzate esclusivamente per attacchi mirati, quali:

  • Vishing (Phishing telefonico);
  • Smishing (SMS con contenuto malevolo);
  • Malware (APK malevoli);
  • Spoofing (Falsificazione del CallerID o del mittente del SMS);
  • Domini Ad Hoc (Creazione di nuovi domini similari nel nome all’originale);
  • Numeri Verdi (Utilizzati per rendere le comunicazioni maggiormente affidabili).

Cambia inoltre la figura criminale che non è più straniera ma italiana. Figura fondamentale per un attacco di ingegneria sociale che non viene più solamente diffuso tramite tecnologia digitale ma anche telefonicamente, la conoscenza della madrelingua diventa utile per raggirare al meglio la vittima e condurla step by step ad eseguire azioni indesiderate.

Conseguentemente son cresciute anche repentinamente le campagne di phishing, raggiungendo anche più di 800 distinte campagne a settimana verso istituti di credito o servizi finanziari italiani.

Campagne di Phishing ai danni di Nexi

Dal mese di Maggio 2022 abbiamo identificato un nuovo attore criminale atto a colpire i clienti di Nexi SpA, la PayTech dei pagamenti digitali in Italia, distinguibile dalla creazione di domini creati Ad Hoc molto fedeli all’originale (usualmente sfrutta TLD differenti ma il dominio contiene univocamente la parola “nexi”, ex nexi[.]shop, nexi[.]club, etc) e un SMS di Phishing ricco di informazioni e dettagli.

Continua a leggere

Il Phishing ai danni di utenti italiani è notevolmente aumentato dal 2019 ad oggi con un cambiamento di rotta significato nelle informazioni richieste alle vittime e dalle tecniche sfruttate dai criminali per divulgare e frodare le vittime. Per diversi anni l’interesse dei criminali era focalizzato principalmente sulle carte di credito e in minoranza sui dati di login per accedere al home banking; dal 2019 la situazione progressivamente è mutata fino ad oggi dove la stragrande maggioranza delle campagne verte dell’acquisire username e password di accesso al conto corrente online delle vittime.

Campagne di Phishing Italiane

Campagne di Phishing Italiane

L’interesse verso i conti correnti è avvenuto conseguentemente l’introduzione di metodi di pagamento istantanei raramente annullabili, come i bonifici bancari istantanei o pagamenti di bollettini postali, che garantiscono ai criminali un rapido ed efficace metodo di movimentare i soldi sottratti alle vittime. I nuovi sistemi anti-frode e l’introduzione della normativa PSD2 hanno reso più sicuri i conti correnti di tutti i correntisti Europei, i criminali sono stati quindi stimolati a progettare nuove tecniche di phishing più sofisticate che non comprendono più il solo invio di una e-mail ma anche chiamate telefoniche, installazioni di applicazioni sugli smartphone delle vittima e altre tecniche che vedremo in futuro in un articolo dedicato.

Ad oggi quindi al tradizionale sito di phishing viene comunemente affiancata una operazione di Vishing (chiamata da parte di un falso operatore bancario) e l’utilizzo di pannelli di controllo dedicati ai criminali per monitorare l’avanzamento della frode e richiedere in tempo reale alla vittime delle informazioni utili per eseguire operazioni illecite sul conto corrente della vittima.

Continua a leggere

Nell’attività di analisi e contrasto al Phishing durante le ultime due settimane abbiamo rilevato la divulgazione di SMS a clienti di Intesa San Paolo i quali invitano gli utenti ad installare un aggiornamento nel proprio smartphone, mediante il seguente messaggio:

Gentile Cliente Gruppo ISP questo è il link per aggiornare l’app di messaggistica e di Intesa San Paolo.

L’aggiornamento veicola una applicazione Android (APK) denominata “Aggiornamento App” ad oggi rilevata in due distinte varianti, com.datiapplicazione.sms e com.sistemaapp.sms.

Continua a leggere

Una nuova campagna di Phishing ai danni degli utenti INPS, similare alla precedente del 6 Aprile 2020, è stata rilevata nelle scorse ore dal nostro centro di ricerca e analisi delle campagne di Phishing.

L’attività fraudolenta viene svolta attraverso un dominio web creato Ad Hoc con similitudini, nel nome, a quello ufficiale dell’istituto nazionale della previdenza sociale con l’intento di far scaricare un malware agli utenti interessati a ricevere l’indennità Covid-19 stanziata dallo stato Italiano.

Continua a leggere

D3Lab nella quotidiana azione di analisi e contrasto al Phishing e Malspam ha rilevato nella notte odierna la diffusione di un malware Android della famiglia Banker Anubis mediante falsa fattura di Enel Energia.

L’utente è invitato a visitare un sito web per scaricare la fattura insoluta, nella realtà la fattura è una applicazione in formato APK per il sistema operativo Android.

L’applicazione in realtà nasconde il malware Anubis, un trojan che include un ampia varietà di funzionalità. Anubis è in grado di acquisire screenshot dello smartphone, registrare audio, inviare, ricevere ed eliminare messaggi, acquisire la rubrica telefonica, acquisire le credenziali salvate nel browser ed aprire url.

Continua a leggere

D3Lab nella azione costante di monitorare nuove attività di Phishing ai danni degli utenti Italiani ha rilevato in data odierna la diffusione del malware Anubis per smartphone Android mediante una falsa promozione dell’operatore telefonico TIM.

L’utente è invitato a visitare un sito web creato Ad Hoc per attivare una offerta che gli garantisce 10Gb di traffico internet gratuito, per attivarla è necessario scaricare un applicazione Android in formato APK.

L’applicazione in realtà nasconde il malware Anubis, un trojan che include un ampia varietà di funzionalità. Anubis è in grado di acquisire screenshot dello smartphone, registrare audio, inviare, ricevere ed eliminare messaggi, acquisire la rubrica telefonica, acquisire le credenziali salvate nel browser ed aprire url.

Inoltre, il Trojan è in grado di alterare le impostazioni più profonde del dispositivo compromesso abilitando o manomettendo le impostazioni di amministrazione del dispositivo, per visualizzare le attività in esecuzione e creare una backdoor per il controllo remoto attraverso il virtual network computing (VNC).

Invitiamo pertanto gli utenti a visitare il sito ufficiale di TIM per conoscere nuove offerte e non consultare link ricevuti via SMS.

 

IoC (Indicatori di Compromissione):

 

 

 

L’attività di Brand Monitor svolta da D3Lab fornisce informazioni utili a monitorare diverse tipologia di minacce, dallo spear-phishing, alla diffusione di malware e phishing tradizionale.

Operando in tale ambito è facile accorgersi come alcune società siano più colpite dal fenomeno della creazione di domini ad-hoc a scopo illecito, non sempre assimilabili al typosquatting, in quanto non creati con l’alterazione di nomi o parole, bensì con concatenazione di termini corretti, nomi di directory, file ed anche servizi.

Poste Italiane sembra essere, in base ai rilievi D3Lab, una delle società più colpite da tale fenomeno:

domini creati con nomi ad Hoc inerenti Poste Italiane

con la creazione di oltre 70 domini con nomi ad essa riconducibili in nemmeno due mesi (rilievi 01/02/17-23/03/17).

Non sempre però, si tratta di pagine che cercano di acquisire direttamente credenziali personali, numeri di carta di credito o altri dati sensibili, come nel caso del dominio poste-postpay.net dalle cui pagine veniva proposta l’installazione di una applicazione Android Poste Italiane, in realtà un malware Android Trojan.

Il dominio creato a supporto della distribuzione del malware è stato individuato attraverso l’analisi di reverse whois su precedente sito di phishing a danno di Poste Italiane.
La tecnica usata consiste nell’individuare il nominativo o la mail di chi ha registrato il sito di phishing ed effettuare poi una ricerca sul db dei whois per evidenziare se la stessa persona ha registrato altri siti simili.

Sovente l’attività di intelligence che si sviluppa dall’esame di più casi di phishing correlabili ad un singolo gruppo criminale evidenzia l’interesse dei criminali nei confronti di più enti target, talvolta di paesi diversi tra l’altro anche nomi di dominio creati per phishing ai danni di ente francese, registrati sempre dalla stesa persona.
Il layout del falso sito PosteIT, come si vede dagli  screenshots, era ottimizzato per dispositivi mobili, e dopo una prima schermata di falso login

propone il download di una ‘Banco Poste Security Module App’

e di seguito le istruzioni per l’installazione sul dispositivo mobile.


Il file scaricato  risultava ad una analisi di VirusTotal chiaramente come un malware

 

Da notare anche come l’applicazione apk che viene installata abbia tra le sue caratteristiche la possibilità di acquisire permessi di scrittura e lettura di SMS, effettuare chiamate telefoniche, ecc…..


cosa che denota le caratteristiche malevole del file PostePay.apk

In questo screenshot vediamo la fase di attivazione del programma, dove si nota la presenza del logo Postepay.


Come sempre in questi casi vale la regola di evitare di installare software di cui non sia certa la fonte, verificando con attenzione sia l’indirizzo del sito utilizzato, ma anche il file scaricato ad esempio attraverso siti di scansione malware online come Virus Total.