Inizialmente era solo uno spyware, poi รจ stato trasformato in un trojan bancario con funzionalitร da ransomware. Quindi รจ stato usato in piรน diย 70.000 attacchi in tre mesi circa.
Un pรฒ di storia…
Il nome di questa nuova minaccia informatica รจย Rotexy, conosciuto un tempo comeย SMSthiefย perchรจ, agli inizi, si limitava aย spiare il contenuto dei messaggi ricevuti e inviatiย sul dispositivo infetto. Dal 2016 perรฒ ha cambiato comportamento, scegliendo come obiettivoย il furto dei dati delle carte di credito tramite pagine di phishing.ย In seguito, gli sviluppatori hanno aggiunto una pagina HTML che riproduce un form di login di una banca legittima, bloccando lo schermo dell’utente finchรจ questo non inserisce le credenziali necessarie. Per rendere ancora piรน credibile la truffa, il malware stesso offre una tastiera virtuale spacciata come “sistema anti keylogging”. Infine รจ in uso anche un pรฒ diย ingegneria sociale: la pagina HTML infatti invita a inserire le credenziali per poter accettare un trasferimento di denaro (ovviamente inesistente) in favore della vittima.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Canali di comunicazione multipli
Una delle prime caratteristiche che contraddistinguono Rotexy รจ il fato di disporre di benย tre canali di comunicazione, rigorosamente separati, per la ricezione dei comandi. I ricercatori hanno infatti scoperto che questo trojan puรฒ ricevere istruzioni tramiteย il servizio Google Cloud Messaging, che recapita messaggi in formato .JSON ai dispositivi mobile. Possiamo solo affermare che, per fortuna, questo canale cesserร di esistere l’11 Aprile 2019 per scelta di sicurezza da parte di Google stessa.
L’altro canale di ricezione dei comandi รจย un server di comando e controlloย gestito direttamente dai cyber attaccanti, come รจ tipico della quasi totalitร dei malware.
Il terzo canale di comunicazioneย si basa sugli SMSย e consente agli operatori del malware di controllarne l’operato tramite un messaggio di testo dal dispositivo infetto. In questo caso il malware mette il dispositivo in modalitร silenziosa e spegne lo schermo quando il messaggio รจ arrivato.
Le (aggressive) richieste per i privilegi di amministrazione
L’ultima versione del malware include un meccanismo di protezione che verifica in quale paese il malware viene avviato e se venga o meno eseguito in un ambiente virtuale. Ad esempio, se รจ stato attivato in Russia e su un sistema reale, Rotexy si registra con Google Cloud Messaging e verifica se ha o meno i privilegi di amministrazione. Se non viene avviato con i privilegi di amministrazione, Rotexy inizia un ciclo continuo ed insistente di vvisi e notifiche all’utente per richiederli: il ciclo si interrompe solo quando i privilegi vengono effettivamente concessi.
Infine, se l’utente ha la malaugurata idea di revocare i privilegi di amministrazione, il display del dispositivo viene periodicamente spento, nell’evidente tentativo di scoraggiare questa azione. Se l’utente riesce comunque nell’intento di revocare lo status di admin, Rotexy avvia di nuovo l’infinito e insistente ciclo di richieste fin quando non vengono di nuovo concessi i privilegi.
Rotexy il ransomware…
Tra le funzionalitร osservate dai ricercatori c’รจ ancheย quella ransomware: Rotexy infatti, tra le altre cose, visualizza una pagina HTML di tipo estorsivo con immagini sessualmente esplicite e che porta al blocco del telefono. Ovviamente, per sbloccare il telefono bisogna pagare un riscatto. In ogni casoย sbloccare il dispositivo รจ piuttosto facile: i ricercatori sono infatti riusciti a individuare i comando che attiva questa azione. Quindi basta inviare un SMS con scritto “3458” per revocare i privilegi di amministrazione e “stop_blocker” per sbloccare lo schermo. (N.B: questi comandi funzionano per la versione attuale del malware. Non รจ possibile garantire la certezza che possano funzionare anche su precedenti o future versioni).
Intermezzo promozionale ... continua la lettura dopo il box:
Il malware comunque continuerร a reiterare la richiesta di privilegi e a bloccare lo schermo fin quando รจ presente nel sistema: l’unica soluzione definitiva รจ avviare la modalitร provvisoria e rimuoverlo.
La campagna di diffusione
Le analisi dei ricercatori hanno verificato l’esistenza di una campagna specifica di diffusione di questo trojan bancario, verificatasi tra Agosto e Ottobre di quest’anno. Diffondeva l’ultima versione di Rotexy principalmente verso utenti russi, ucraini, turchi, tedeschi e altre nazioni europee.
https://s-martitalia.blogspot.com/2018/11/3-mesi-oltre-70000-attacchi-ecco-il.html
