Nell’attività di analisi e contrasto al Phishing durante le ultime due settimane abbiamo rilevato la divulgazione di SMS a clienti di Intesa San Paolo i quali invitano gli utenti ad installare un aggiornamento nel proprio smartphone, mediante il seguente messaggio:
Gentile Cliente Gruppo ISP questo è il link per aggiornare l’app di messaggistica e di Intesa San Paolo.
L’aggiornamento veicola una applicazione Android (APK) denominata “Aggiornamento App” ad oggi rilevata in due distinte varianti, com.datiapplicazione.sms e com.sistemaapp.sms.
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2020/10/genymotion-screenshot-1.png?fit=720%2C772&ssl=1772720Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2020-10-01 16:02:472020-10-02 10:15:13Aggiornamento App: Applicazione malevola per intercettare codici OTP di Intesa San Paolo
Una nuova campagna di Phishing ai danni degli utenti INPS, similare alla precedente del 6 Aprile 2020, è stata rilevata nelle scorse ore dal nostro centro di ricerca e analisi delle campagne di Phishing.
L’attività fraudolenta viene svolta attraverso un dominio web creato Ad Hoc con similitudini, nel nome, a quello ufficiale dell’istituto nazionale della previdenza sociale con l’intento di far scaricare un malware agli utenti interessati a ricevere l’indennità Covid-19 stanziata dallo stato Italiano.
L’attività di Brand Monitor svolta da D3Lab fornisce informazioni utili a monitorare diverse tipologia di minacce, dallo spear-phishing, alla diffusione di malware e phishing tradizionale.
Operando in tale ambito è facile accorgersi come alcune società siano più colpite dal fenomeno della creazione di domini ad-hoc a scopo illecito, non sempre assimilabili al typosquatting, in quanto non creati con l’alterazione di nomi o parole, bensì con concatenazione di termini corretti, nomi di directory, file ed anche servizi.
Poste Italiane sembra essere, in base ai rilievi D3Lab, una delle società più colpite da tale fenomeno:
con la creazione di oltre 70 domini con nomi ad essa riconducibili in nemmeno due mesi (rilievi 01/02/17-23/03/17).
Non sempre però, si tratta di pagine che cercano di acquisire direttamente credenziali personali, numeri di carta di credito o altri dati sensibili, come nel caso del dominio poste-postpay.net dalle cui pagine veniva proposta l’installazione di una applicazione Android Poste Italiane, in realtà un malware Android Trojan.
Il dominio creato a supporto della distribuzione del malware è stato individuato attraverso l’analisi di reverse whois su precedente sito di phishing a danno di Poste Italiane.
La tecnica usata consiste nell’individuare il nominativo o la mail di chi ha registrato il sito di phishing ed effettuare poi una ricerca sul db dei whois per evidenziare se la stessa persona ha registrato altri siti simili.
Sovente l’attività di intelligence che si sviluppa dall’esame di più casi di phishing correlabili ad un singolo gruppo criminale evidenzia l’interesse dei criminali nei confronti di più enti target, talvolta di paesi diversi tra l’altro anche nomi di dominio creati per phishing ai danni di ente francese, registrati sempre dalla stesa persona.
Il layout del falso sito PosteIT, come si vede dagli screenshots, era ottimizzato per dispositivi mobili, e dopo una prima schermata di falso login
propone il download di una ‘Banco Poste Security Module App’
e di seguito le istruzioni per l’installazione sul dispositivo mobile.
Il file scaricato risultava ad una analisi di VirusTotal chiaramente come un malware
Da notare anche come l’applicazione apk che viene installata abbia tra le sue caratteristiche la possibilità di acquisire permessi di scrittura e lettura di SMS, effettuare chiamate telefoniche, ecc…..
cosa che denota le caratteristiche malevole del file PostePay.apk
In questo screenshot vediamo la fase di attivazione del programma, dove si nota la presenza del logo Postepay.
Come sempre in questi casi vale la regola di evitare di installare software di cui non sia certa la fonte, verificando con attenzione sia l’indirizzo del sito utilizzato, ma anche il file scaricato ad esempio attraverso siti di scansione malware online come Virus Total.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2017/03/b3.png?fit=335%2C653&ssl=1653335Edgardo D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngEdgardo D3Lab2017-03-24 10:30:072017-03-23 15:24:04Malware Android distribuito da falso sito Poste Italiane
Un costante monitoraggio della rete da parte di D3lab rileva come giornalmente vengano creati nuovi nomi di dominio spesso ingannevoli e che fanno riferimento a noti servizi internet quali ad esempio, PayPal
ma anche alla nota applicazione di messaggistica istantanea multipiattaforma per smartphone, Whatsapp In dettaglio ecco un novo dominio, dal nome ingannevole, che appare registrato da poche ore,
e che mostra l’attuale hosting su IP USA
La pagina di download della fake applicazione Whatsapp presenta un layout ottimizzato per dispositivi mobili
Una volta cliccato sul pulsante download, viene scaricato un file apk che una analisi Virus Total mostra avere contenuti malware
Sempre sul medesimo sito e’ possibile trovare pagine di download di altre note applicazioni Android, in realtà falsi apk dai contenuti maevoli.
Il consiglio rimane quindi sempre quello di evitare di scaricare applicazioni da siti poco conosciuti e di dubbia affidabilità, provvedendo inoltre, prima di installare il software, ad una scansione con servizi Internet di verifica dei contenuti, come ad esempio Virus Total, ricordando comunque che nel caso di nuovo malware o varianti di codici noti, anche la scansione online, potrebbe, specialmente nelle prime ore di distribuzione del codice malevolo, far apparire il file come legittimo e senza problemi.
Potremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Cookie essenziali del sito Web
Questi cookie sono strettamente necessari per fornirvi i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue caratteristiche.
Poiché questi cookie sono strettamente necessari per la consegna del sito web, il loro rifiuto avrà un impatto sul funzionamento del nostro sito web. È sempre possibile bloccare o cancellare i cookie modificando le impostazioni del browser e forzare il blocco di tutti i cookie su questo sito web. Ma questo vi chiederà sempre di accettare/rifiutare i cookie quando visitate il nostro sito.
Rispettiamo pienamente se si desidera rifiutare i cookie, ma per evitare di chiedervi gentilmente più e più volte di permettere di memorizzare i cookie per questo. L’utente è libero di rinunciare in qualsiasi momento o optare per altri cookie per ottenere un’esperienza migliore. Se rifiuti i cookie, rimuoveremo tutti i cookie impostati nel nostro dominio.
Vi forniamo un elenco dei cookie memorizzati sul vostro computer nel nostro dominio in modo che possiate controllare cosa abbiamo memorizzato. Per motivi di sicurezza non siamo in grado di mostrare o modificare i cookie di altri domini. Puoi controllarli nelle impostazioni di sicurezza del tuo browser.
Altri servizi esterni
Utilizziamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori esterni di video. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti permettiamo di bloccarli qui. Si prega di notare che questo potrebbe ridurre notevolmente la funzionalità e l’aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.