La comunità di esperti di sicurezza informatica ha individuato un nuovo trojan bancario, progettato per prendere di mira l’Italia e la Spagna. Il malware, estremamente sofisticato, è in grado di rubare le credenziali d’accesso degli account della vittima e bypassare l’autenticazione a due fattori.
In questo modo il malware può accedere alle app di alcune delle principali banche europee ed effettuare agilmente operazioni bancarie, prosciugando il conto corrente della vittima.
Il malware, soprannominato MailBot, è stato individuato dal team F5 Labs. Tra le altre cose, MailBot è anche in grado di sfruttare un exploit dell’Accessibility Service di Android, garantendo agli hacker la possibilità di spiare lo schermo dello smartphone della vittima. Una panoramica completa sulla vita privata dell’utente.
MailBot viene distribuito soprattutto all’interno di alcune finte applicazioni per il mining di criptovalute, tra cui Mining X e The Crypto App (da non confondere con l’ominima app distribuita sul Play Store). Queste app vengono distribuite attraverso il download diretto dell’APK via browser.
I ricercatori di F5 Labs sono risaliti al server di command-and-control del malware, localizzandolo in Russia. Il malware utilizzerebbe gli stessi server già individuati analizzando il malware Sality. “È una versione estremamente modificata di un malware già noto con il nome SOVA, ma differisce per alcune funzioni e per i suoi target”, scrive in una nota F5 Labs.
La lista delle banche prese di mira da questo trojan è relativa lunga e include anche UniCredit, Santander, CaixaBank e CartaBCC.