McAfee ha scoperto un nuovo malware per Android in grado di rubare le password bancarie da un dispositivo mobile senza infettare il terminale dell'utente. L'applicazione malevola è stata battezzata FakeToken e svolge un'azione man-in-the-middle controllata da remoto per prelevare le password di accesso ai servizi di home banking direttamente dal dispositivo mobile infetto.
FakeToken prende di mira i servizi finanziari che utilizzano applicazioni Token Generator
Carlos Castillo di McAfee ha spiegato a ZDNet che "il software maligno ha come obiettivi specifici gli enti finanziari che utilizzano applicazioni Token Generator . Una volta che l'applicazione è installata, il malware utilizza il logo e i colori dell'icona della banca
per crearne uno credibile agli occhi dell'utente, che la selezionerà
per le sue operazioni di banking.
Una volta che l'app falsa viene
eseguita visualizzerà una pagina web identica a quella della banca, in
linguaggio HTML/JavaScript, con il generatore di Token fasullo, che
inizierà a lavorare non appena l'utente avrà inserito le sue credenziali
per l'accesso al servizio bancario".
In buona sostanza l'utente che crede di essere connesso al sito dell'istituto bancario inserisce le sue credenziali e clicca su "Generator" per ottenere il numero di accesso sicuro. "Il malware però gli restituisce un token falso, che non è altro che un numero casuale, e invia la password per uno specifico numero di cellulare con gli identificativi del dispositivo (IMEI e IMSI). La stessa informazione viene anche inviata ad uno dei server di controllo della banca insieme a ulteriori dati, come il numero di telefono del dispositivo. Il malware in questo modo intercetta l'elenco dei server di controllo contenuto in un file XML all'interno dell'APK originale".
Oltre tutto FakeToken ha anche la capacità di dirottare all'esterno l'elenco dei contatti memorizzati nel dispositivo. L'esperto di sicurezza reputa inoltre che il malware contenga anche i comandi per aggiornarsi o per depositare spyware nel terminale infetto.
I malware per Android che prendono di mira gli enti finanziari sono in continua evoluzione, grazie all'ampia diffusione di questo sistema operativo. Ovviamente l'indicazione per evitare di cadere in trappola è quella di evitare in ogni caso di accedere all'home banking dallo smartphone o dal tablet, oltre che evitare di cliccare sui messaggi di phishing, sempre diffusi: la banca non chiederà mai agli utenti di cambiare o confermare via mail le proprie credenziali.