Hacker Android prendono di mira 400 app bancarie, di trading e crypto in un'operazione globale per svuotare i conti: ricercatori di cybersecurity

Gli hacker stanno ora prendendo di mira oltre 400 applicazioni finanziarie in tutto il mondo, distribuendo una nuova variante di malware Android nel tentativo di svuotare i conti.

Il malware, chiamato Albiriox, è un trojan di accesso remoto (RAT) altamente sofisticato progettato per prendere il pieno controllo di un dispositivo infetto, consentendo agli aggressori di accedere e manipolare direttamente le sessioni bancarie o crypto legittime dell’utente, secondo una nuova analisi della società di cybersecurity Cleafy.

Cleafy afferma che gli obiettivi di Albiriox coprono un ampio spettro di piattaforme finanziarie, incluse banche tradizionali, app fintech, processori di pagamento, exchange crypto, wallet mobili e piattaforme di trading. La sua ampia portata segnala uno sforzo deliberato per compromettere sia gli utenti finanziari tradizionali sia coloro che detengono asset digitali.

Il malware si diffonde tramite app false che si spacciano per quelle reali, come una finta app “Penny Market” proveniente da pagine Google Play contraffatte, a cui le persone accedono tramite link SMS e devono concedere permessi per installare prima che venga scaricato il virus.

Ciò che rende Albiriox particolarmente pericoloso è il suo allineamento con l’On-Device Fraud (ODF), una classe di malware mobile in rapida espansione che opera all’interno della sessione autenticata della vittima. Cleafy riporta che il trojan utilizza una combinazione di controllo remoto basato su VNC, abuso dei servizi di accessibilità, sovrapposizioni mirate dello schermo e raccolta dinamica delle credenziali.

Insieme, queste capacità consentono agli aggressori di bypassare i controlli biometrici, l’autenticazione a due fattori e altre salvaguardie contro le frodi comportandosi come l’utente legittimo.

Una volta che il malware ottiene i permessi di accessibilità, gli aggressori possono navigare sul dispositivo in tempo reale, avviare trasferimenti, svuotare wallet crypto o approvare transazioni ad alto rischio senza attivare i normali avvisi di sicurezza. Poiché l’attività proviene dal dispositivo stesso della vittima, banche ed exchange potrebbero avere difficoltà a rilevare la frode fino a quando i fondi non sono già stati rubati.

Cleafy conclude che Albiriox rappresenta un cambiamento significativo nel cybercrimine mobile, con gli attori delle minacce che danno sempre più priorità a malware focalizzati sull’ODF in grado di compromettere in modo persistente l’intero dispositivo.

Guardando al futuro, i ricercatori avvertono che il settore finanziario e in particolare gli utenti crypto dovrebbero aspettarsi più attacchi che si basano sul dirottamento delle sessioni in tempo reale piuttosto che sul phishing tradizionale o sul furto di credenziali.

Generated Image: Midjourney