Gli esperti di Kaspersky hanno analizzato la recente campagna messa in atto da Zanubis, un trojan bancario che si distingue la sua abilità nell’assumere le sembianze di applicazioni legittime
Zanubis è un trojan bancario basato su Android, comparso ad agosto 2022, che prende di mira gli operatori nel settore finanziario e delle criptovalute in Perù. Assumendo l’aspetto di applicazioni Android peruviane, inganna gli utenti inducendoli a concedere le autorizzazioni di accesso, perdendone così il controllo. Ad aprile 2023, Zanubis si è evoluto, spacciandosi per l’applicazione ufficiale dell’organizzazione governativa peruviana SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria), dimostrando un maggiore complessità. Per nascondere Zanubis è stato utilizzato Obfuscapk, un popolare software di offuscamento per file Android APK. Una volta ottenuta l’autorizzazione ad accedere al dispositivo, inganna la vittima, caricando il sito web SUNAT officiale utilizzando la funzione WebView, in modo da farlo sembrare legittimo.
La comunicazione con il server di controllo avviene attraverso l’utilizzo di WebSockets e di una libreria chiamata Socket.IO. Questo gli consente di adattarsi e rimanere connesso, anche in caso di problemi. A differenza degli altri malware, Zanubis non ha una lista specifica di applicazioni da colpire, può invece essere programmato da remoto per rubare dati quando sono in esecuzione applicazioni specifiche. Questo malware può creare una seconda connessione, che potrebbe dare ai criminali il pieno controllo del dispositivo e addiritturadisabilitarlo spacciandosi per un aggiornamento Android.
Un’altra recente scoperta di Kaspersky è il cryptor/loader AsymCrypt, che colpisce i crypto wallet ed è venduto nei forum clandestini. Come emerso dall’indagine, si tratta di un’evoluzione del loader DoubleFinger, che funge da “facciata” per un servizio di rete TOR. Gli acquirenti personalizzano i metodi di injection, i processi di destinazione, la durata dell’avvio e i tipi di stub per le DLL malevole, nascondendo il payload in un blob crittografato all’interno di un’immagine .png caricata su un sito di image hosting. L’esecuzione decripta l’immagine, attivando il payload nella memoria.
Il monitoraggio delle minacce informatiche di Kaspersky ha condotto anche alla scoperta dello stealer Lumma, una famiglia di malware in evoluzione. Originariamente conosciuta come Arkeie ribattezzata Lumma conserva il 46% delle sue precedenti caratteristiche. Mascherato da convertitore di file da .docx a .pdf, la sua installazione illecita innesca un payload malevolo quando vengono caricati i file che presentano una doppia estensione.pdf.exe. Nel corso del tempo, la principale funzionalità delle diverse varianti è rimasta la stessa: rubare i file memorizzati nella cache, i file di configurazione e i log dai cripto wallet. Può farlo agendo come un plugin del browser, ma supporta anche l’applicazione indipendente Binance. L’evoluzione di Lumma include la possibilità di acquisire gli elenchi dei processi di sistema, modificare gli URL di comunicazione e perfezionare le tecniche di crittografia.
“I criminali informatici sono inarrestabili nella loro ricerca di guadagno: si avventurano nel mondo delle criptovalute e addirittura si spacciano per istituzioni governative pur di raggiungere i propri obiettivi. Il panorama in continua evoluzione del malware, esemplificato dal versatile stealer Lumma e dalle ambizioni di Zanubis di diventare un vero e proprio trojan bancario, sottolinea la natura dinamica di queste minacce. L’adattamento a questa costante trasformazione dei codici maligni e delle tattiche dei criminali informatici rappresenta una sfida continua per i team di difesa. Per proteggersi da questi pericoli, le aziende devono essere vigili e ben informate. I report di Intelligence sono fondamentali per tenersi aggiornati sui più recenti strumenti malevoli e sulle tecniche di attacco, permettendoci di essere sempre un passo avanti nella battaglia per la sicurezza digitale”, ha dichiarato Tatyana Shishkova, a Lead Security Researcher di GReAT.
Per prevenire minacce finanziarie, Kaspersky consiglia di:
- Impostare backup offline che non possano essere manomessi da intrusi e assicurarsi di potervi accedere rapidamente in caso di emergenza.
- Installare una protezione ransomware per tutti gli endpoint. Kaspersky Anti-Ransomware Tool for Business è gratuito e protegge computer e server da ransomware e altri tipi di malware, previene gli exploit ed è compatibile con le soluzioni di sicurezza preinstallate.
- Per ridurre al minimo le probabilità che vengano lanciati crypto-miner, utilizzare una soluzione di sicurezza dedicata come Kaspersky Endpoint Security for Business con controllo delle applicazioni e del web; l’analisi del comportamento aiuta a rilevare rapidamente le attività dannose, mentre il vulnerability and patch manager protegge dai crypto-miner che sfruttano le vulnerabilità.
