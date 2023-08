Nel panorama in continua evoluzione delle minacce alla sicurezza informatica, gli utenti Android si sono trovati sotto l’assedio di un avversario persistente: i malware che sfruttano le impostazioni di accessibilità.

Uno di questi malware, il Trojan ad accesso remoto (RAT) Gigabud, è recentemente diventato tristemente noto per i suoi attacchi a sfondo finanziario.

Secondo i ricercatori di cybersicurezza di Group-IB, il malware Gigabud RAT ha fatto il suo debutto in Thailandia, un focolaio di minacce digitali emergenti. Nel luglio 2022, gli utenti Android thailandesi sono stati vittime di un attacco abilmente orchestrato. I truffatori hanno inviato e-mail e messaggi SMS contenenti link a una versione contraffatta del popolare sito web di Thai Lion Air. Gli utenti che hanno cliccato sul link hanno scaricato inconsapevolmente il software dannoso, concedendogli l’accesso ai loro dispositivi e alle loro autorizzazioni con la scusa di richiedere un prestito.

Il RAT Gigabud opera con un modus operandi astuto. Una volta ottenuto l’accesso a un dispositivo, il malware rimane inizialmente inattivo, evitando di essere rilevato. Si tratta di una caratteristica cruciale che consente al malware di eludere la scoperta immediata. Una volta attivato, tuttavia, il malware sfrutta i servizi di accessibilità di Android per eseguire una serie di azioni insidiose. Queste includono l’interazione con altre app, la raccolta di dati sensibili e persino la manomissione del contenuto degli appunti.

Uno degli aspetti più allarmanti di Gigabud RAT è il suo potenziale di frode finanziaria. Avendo la capacità di imitare le azioni dell’utente, il malware può sfruttare i processi di autenticazione e potenzialmente trasferire fondi all’insaputa dell’utente. Data la natura intricata delle sue funzionalità, il malware è stato abile nell’impiegare tecniche di raccolta di informazioni passive, come la registrazione dei tasti e delle schermate, per raccogliere dati sensibili in modo occulto.

Il rapporto di Group-IB ha fatto luce sulla sorprendente espansione dell’influenza di Gigabud RAT. Sono state rilevate più di 400 istanze del malware in oltre 100 Paesi, a dimostrazione del suo impatto globale. Gli attori delle minacce che si celano dietro questo malware hanno preso di mira oltre 25 aziende e agenzie governative. Questa rapida crescita e diffusione geografica evidenziano la necessità di misure proattive per contrastare tali minacce.

In risposta alla crescente minaccia rappresentata da Gigabud RAT e da altre minacce informatiche simili, Google sta adottando misure per migliorare la sicurezza di Android. L’imminente aggiornamento di Android 14 promette una maggiore protezione dell’API Accessibilità, sfruttata continuamente dai malware. Rafforzando questo punto vulnerabile, Google intende vuole rendere più difficile per i malintenzionati l’esecuzione di violazioni come quelle consentite da Gigabud RAT.

Sono in corso di implementazione tecniche di scansione migliorate sul Play Store per identificare e prevenire la distribuzione di app che potrebbero compromettere la sicurezza degli utenti. La lotta tra aggressori informatici e sistemi di sicurezza continua…