All'inizio di aprile la società olandese Securify ha rilevato un nuovo esemplare di BankBot, il malware Android che attacca applicazioni di mobile banking per carpire le credenziali bancarie degli utenti.

Mentre le precedenti versioni di BankBot avevano come principale target le istituzioni finanziarie russe, l'ultima versione dimostra che ora il malware prende di mira anche 420 importanti banche europee ed americane.

Ma come fa BankBot ad attaccare le applicazioni di mobile banking? Lo hanno analizzato accuratamente Ludovic Joly ed Ernesto Corral, analisti ai Threat Research Labs di VASCO Data Security, in modo da verificare se e in che modo tale minaccia possa essere contrastata.

Intanto va considerato che BankBot è un Trojan bancario che si presenta come un'applicazione apparentemente innocua, come WhatsApp o Runtastic. Quando l'applicazione viene installata ed eseguita, richiede i privilegi amministrativi. Una volta ottenuti questi privilegi, l'icona scompare dalla schermata iniziale. Da quel momento il dispositivo è compromesso.

Un attacco in due tempi

BankBot successivamente, ha evidenziato Frederik Mennes, Senior Manager Market & Security Strategy di Vasco Data Security, tenta di rubare le credenziali bancarie (ad esempio il nome utente e il PIN) e le informazioni sulla carta di credito usando una tecnica ben nota chiamata "overlay", o sovrapposizione.

Ciò significa che, non appena viene lanciata l'applicazione di mobile banking, il malware crea una finestra ad essa sovrapposta che ne riproduce l'aspetto e inganna gli utenti, i quali inseriscono le proprie credenziali credendo di interagire con l'applicazione reale.

Contro la minaccia degli attacchi di questo tipo, e per questo chiamati overlay, secondo l'analisi di Joly e Corral, è possibile proteggere le applicazioni di mobile banking ricorrendo a due tecniche, vale a dire la tecnologia RASP (Self-Protection Runtime Application Self-Protection) e alle funzionalità di autenticazione a due fattori.

RASP, che è un termine coniato da Gartner, protegge le applicazioni mobili contro le intrusioni a livello di applicazione, proprio quali gli attacchi overlay. Le soluzioni RASP interferiscono con il processo mediante il quale il Trojan bancario tenta di creare e mostrare le sovrapposizioni.

È importante ricorrere, osserva e suggerisce il manager, a una soluzione RASP che fornisca una protezione generale contro le tecniche di overlay. Ciò significa che la soluzione RASP non dovrebbe fornire protezione contro specifici esemplari di malware (ad esempio l'ultimo BankBot), ma piuttosto contro più famiglie di malware, come appunto BankBot ma anche svpeng e Marcher.

Marcher, in particolare, è una delle famiglie di malware bancari più attive del 2016, secondo il report di Kaspersky "Financial Cyberthreats in 2016". Buone soluzioni RASP possono essere generali perché i nostri analisti hanno dimostrato che molte famiglie malware utilizzano tecniche simili per creare sovrapposizioni.

Puntare su una protezione a due fattori

La tecnologia di autenticazione a due fattori, invece, assicura che le credenziali bancarie rubate tramite un attacco overlay si rivelino di scarso valore per un truffatore.

Infatti, le applicazioni protette in questo modo utilizzano due diversi elementi di autenticazione: qualcosa che l'utente conosce (ad esempio il PIN), ma anche qualcosa che l'utente ha (cioè una chiave di crittografia memorizzata sul dispositivo mobile, il quale viene utilizzato per generare one-time password).

Se gli attacchi overlay possono essere vincenti per impadronirsi del fattore di conoscenza, non possono invece aver successo per sottrarre la chiave crittografica.

Il risultato dell'analisi, in conclusione, è che il trojan BankBot, con le sue tecniche di overlay, è una minaccia considerevole e in continua evoluzione. Fortunatamente le contromisure per neutralizzarlo, come appunto la tecnologia RASP e l'autenticazione a due fattori, esistono e sono già immediatamente disponibili e, soprattutto, efficaci.