Trojan bancari, è emergenza: i 10 più diffusi prendono di mira app scaricate un miliardo di volte

I trojan bancari sono un problema concreto che sta assumendo proporzioni importanti. Un rapporto di Zimperium ha evidenziato che i dieci trojan bancari più prolifici su sistema operativo Android prendono di mira un totale di 639 applicazioni finanziarie che complessivamente sono state scaricate oltre un miliardo di volte dal Google Play Store. 

Questa minaccia informatica si nasconde all'interno di app apparentemente innocue, come strumenti di produttività o giochi, intrufolandosi nello store ufficiale di Google. Una volta che questi trojan riescono ad infettare un dispositivo, vanno a sovrapporre schermate contraffatte a quelle di accesso delle app bancarie legittime, allo scopo di rubare credenziali, monitorare notifiche e riuscire ad intercettare le One Time Password dei sistemi di sicurezza a due fattori, riuscendo talvolta a compiere frodi finanziarie ai danni dell'utente.

Secondo quanto riferisce Zimperium, ciascuno di questi trojan è riuscito a ritagliarsi uno spazio di riferimento sul mercato dei malware, e vengono usati per scopi specifici e funzionalità chiave che li differenziano dagli altri.

Gli Stati Uniti sono il primo Paese con 121 app prese di mira, seguiti dal Regno Unito con 55 app. Al terzo posto si trova l'Italia, con 43 app bancarie/finanziarie prese di mira dai trojan bancari. Seguono poi Turchia, Australia e Francia rispettivamente con 34, 33 e 31 app nel mirino.

Il trojan che prende di mira la maggior parte delle app bancarie è Teabot: 410 sulle 639 complessive monitorate. L'app bancaria che ha il maggior numero di download è invece PhonePe, particolarmente popolare in India, che conta 100 milioni di download dal Play Store. L'app bancaria che risulta essere nel mirino del maggior numero di trojan bancari è BBVA, bersaglio di sette tra i dieci trojan più attivi.

I trojan bancari però non minacciano solamente le app di convenzionali istituti finanziari e banche: anche le app di Binance, il principale exchange di criptovalute, e Cash App, un servizio per pagamenti mobile usato in USA e Regno Unito, sono prese di mira e contano insieme circa 100 milioni di download.

La classifica stilata da Zimperium comprende:

1. BianLian - Bersagli: Binance, BBVA e diverse app turche. Una recente versione del trojan che risale allo scorso aprile può scavalcare photoTAN, considerato uno dei metodi di autenticazione forte in campo online banking
2. Cabassous - Bersagli: Barclays, CommBank, Halifax, Lloys e Santander. Fa uso di un algoritmo di generazione del dominio (DGA) per eludere il rilevamento e le rimozioni.
3. Coper - Bersagli: BBVA, Caixa Bank, CommBank e Santander. Esegue un monitoraggio attivo della lista di "app consentite" per l'ottimizzazione della batteria, modificandola per sfuggire alle restrizioni
4. EventBot - Bersagli: Barclays, Intensa, BancoPosta e varie altre app italiane. Si maschera da Microsoft Word o Adobe Flash e può scaricare nuovi moduli malware da fonti remote.
5. Exobot - Bersagli: PayPal, Binance, Cash App, Barclays, BBVA e CaixaBank. Si tratta di un malware molto leggero, che impiega poche risorse di sistema, fa uso di librerie condivise e recupera le schermate contraffatte dal server di comando e controllo solamente quando necessario
6. FluBot - Bersagli: BBVA, Caixa, Santander e varie altre app spagnole. E' un trojan conosciuto per la sua capacità di diffondersi rapidamente tramite SMS inviati ai contatti dei dispositivi compromessi
7. Medusa - Bersagli: BBVA, CaixaBank, Ziraat e diverse app bancarie turche. Può eseguire frodi direttamente sul dispositivo abusando del servizio di accessibilità e agire come un normale utente fingendosi il legittimo proprietario dell'account.
8. Sharkbot - Bersagli: Binance, BBVA e Coinbase. E' caratterizzato da un nutrito arsenale di contromisure per evadere il rilevamento e la cancellazione, e instaura una comunicazione con il server di comando e controllo protetta da crittografia forte.
9. Teabot - Bersagli: PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile e Coinbase. E' provvisto di keylogger dedicato per ciascuna app, e lo carica quando l'utente la avvia.
10. Xenomorph - Bersagli: BBVA e varie app bancarie con sede nell'UE. Funge anche da collettore per recuperare altri malware sul dispositivo compromesso.

Come già detto più sopra e come conferma anche la classifica, ognuno dei dieci trojan ha un campo d'azione relativamente ristretto e focalizzato, oltre a funzionalità ben definite, permettendo quindi ai malintenzionati di poter attingere da un mercato diversificato e capace di rispondere con precisione alle diverse esigenze criminose.