Il team di K7 Labs ha individuato un’applicazione malevola chiamata “Customer Help Service.apk”, progettata per colpire gli utenti di banche indiane. Sebbene alcuni dei suoi comportamenti fossero già noti, altre caratteristiche si sono rivelate peculiari, rendendo questo malware particolarmente insidioso.
Diffusione e installazione
Secondo i dati telemetrici di K7, questo malware viene spesso installato dalla cartella “WhatsappDocuments”, suggerendo che le vittime siano state indotte a scaricarlo tramite WhatsApp. Resta però un mistero come sia stato distribuito: attraverso tecniche di vishing (manipolazione telefonica) o phishing? A giudicare dalle recenti cronache internazionali, può essere facilmente giustificabile con importanti dosi di social-engineering mirata ai clienti.
Durante l’installazione, Android avvisa l’utente dei rischi con messaggi di sicurezza come “Unknown Sources” e “Google Play Protect”, a meno che l’utente non scelga di ignorarli volontariamente. Una volta installato, l’app non compare nel drawer delle applicazioni perché non registra la categoria “android.intent.category.LAUNCHER”. Tuttavia, viene avviata in background da componenti che rispondono a eventi come SMS_RECEIVED e BOOT_COMPLETED.
Permessi e attività nascoste
Il malware richiede una serie di permessi invasivi, tra cui:
- Ottimizzazione della batteria per mascherare il consumo elevato dovuto ai servizi in esecuzione.
- Accesso alle notifiche per monitorare i canali creati dall’app stessa.
- Lettura e invio di SMS, oltre alla gestione delle chiamate.
L’icona dell’applicazione, visibile solo nelle impostazioni del dispositivo, è stata progettata per apparire innocua, come mostrato nell’immagine allegata.
Deviazione delle chiamate e raccolta dati
Una delle caratteristiche più preoccupanti di questo SpyBanker è la sua capacità di modificare il numero di “Call Forwarding” verso un telefono controllato dagli attaccanti. Utilizzando un servizio chiamato “CallForwardingService”, il malware reindirizza le chiamate in arrivo quando l’utente non risponde, deviandole verso il numero specificato. Per verificare lo stato del call forwarding, il malware invia il codice USSD “*21#” e analizza la risposta.
Una volta attivato il reindirizzamento, il malware raccoglie i dettagli della SIM vittima e li invia a un database Firebase, insieme a un numero di telefono hardcoded utilizzato come destinazione delle chiamate deviate.
Furto di informazioni bancarie
L’app è progettata per raccogliere informazioni sensibili legate ai conti bancari delle vittime. Presenta un’interfaccia dinamica che si adatta al nome della banca selezionata dall’utente, richiedendo credenziali, codici OTP e altri dati finanziari. Tra le banche target ci sono istituti importanti come State Bank of India, HDFC Bank, ICICI Bank e molti altri.
Inoltre, il malware monitora tutti gli SMS ricevuti, inclusi quelli contenenti OTP, le chiamate effettuate e le email notificate, archivandoli nel database Firebase. Questi dati permettono agli attaccanti di compiere frodi finanziarie con facilità, sfruttando le informazioni rubate e gli OTP intercettati.
Protezione e contromisure
Per contrastare queste minacce, il governo indiano ha lanciato l’iniziativa “Sanchar Saathi” (disponibile all’indirizzo https://sancharsaathi.gov.in), che permette agli utenti di segnalare frodi e abusi.
Per proteggersi, è fondamentale scaricare app solo dagli store ufficiali, verificare regolarmente i permessi concessi alle applicazioni e mantenere aggiornato sia il sistema operativo che il software di sicurezza. L’uso di soluzioni antivirus (sopratutto in ambito desktop) affidabili può aiutare a identificare e bloccare minacce come questa prima che causino danni.
Indicatori di Compromissione (IOC)
- Nome APK: Customer Help Service.apk
- Hash: E40FC8b4ed62ebe096b80edb6a8c8dfa
- Nome rilevamento: Trojan (001140e1)
Il banking Trojan non è quindi una minaccia obsoleta ma continuano ad evolversi, adottando tecniche sempre più sofisticate per aggirare le difese e colpire gli utenti.