L’allarme è stato lanciato da Cleafy, società specializzata in sicurezza informatica, frodi e data scientist: in Italia è arrivato un virus che distrugge gli smartphone e attacca i conti correnti delle principali banche italiane. Si chiama “BRATA“, prende di mira i dispositivi mobili e poi arriva a rubare tutti i dati sensibili dell’utente vittima del raggiro.
Ma c’è un modo per riconoscere la truffa?
BRATA: come riconoscere il virus che svuota il conto corrente e distrugge lo smartphone
BRATA sta per Brazilian Remote Access Tool Android ed è un membro di una famiglia di malware Android. Il malware inizialmente è stato diffuso in Brasile tramite Google Play, ma ora è arrivato anche negli Stati Uniti e in Europa, Italia compresa.
A fine giugno 2021, il team di Cleafy Threat Intelligence and Incident Response ha intercettato per la prima volta una nuova campagna di smishing aggressiva (cos’è e come funziona ve lo abbiamo spiegato qui). Dopo la prima ondata, durata da giugno a metà settembre, gli hacker si sono fermati per circa un mese. A metà ottobre, però, nuovi attacchi sono stati denunciati e, rispetto ai primi raggiri, questa volta il malware è stato fin da subito quasi impercettibile agli antivirus.
Grazie ad un’approfondita analisi tecnica degli Indicatori di Compromise intercettati, il team di Cleafy è comunque riuscito a ricostruire nel dettaglio la catena di eventi e le metodologie utilizzate per portare a termine le frodi.
Il virus, fin dal primo momento, ha preso di mira i clienti delle più grandi banche retail italiane.
Tutto di solito inizia con un falso SMS contenente un collegamento a un sito Web. L’SMS sembra provenire dalla propria banca (il cosiddetto spoofing scam), e cerca di convincere la vittima a scaricare un’app anti-spam, con la promessa di essere presto contattata da un operatore bancario.
In alcuni casi, il link reindirizza la vittima a una pagina di phishing (cos’è e come funziona ve lo abbiamo spiegato qui) che assomiglia a quella della banca e viene utilizzata per rubare credenziali e altre informazioni rilevanti (ad es. codice fiscale e domande di sicurezza).
Come il virus BRATA attacca il sistema
BRATA è un Trojan di accesso remoto (RAT). Il finto SMS inviato dal virus, come spiegato sopra, ha come obiettivo quello di spingere la vittima a visitare il sito Web fake (visibile solo tramite dispositivo mobile) e a scaricare l’app dannosa. In alcuni casi può anche capitare che un operatore (che in realtà altro non è che un truffatore) chiami la vittima spacciandosi per un consulente bancario, convincendola così a installare l’app dannosa se non lo ha ancora fatto.
Durante le fasi di installazione del malware sono necessarie più autorizzazioni per consentire agli hacker di svolgere attività fraudolente: una volta installata l’app dannosa, infatti, i truffatori sono in grado di prendere il controllo dei dispositivi infettati grazie all’abuso dei servizi di Accessibilità, del permesso SMS e del modulo di registrazione/casting del malware. Come se non bastasse, BRATA riesce a ripristinare i dispositivi dopo aver ottenuto i dati di cui ha bisogno, lasciando la vittima incapace di utilizzare le app per interrompere i prelievi forzati dai propri account.
Sono stati presi di mira principalmente dispositivi Android che, una volta infettati, sono diventati praticamente inutilizzabili (poiché svuotati di ogni informazione e ormai sotto il totale controllo degli operatori di frode).
Funzionalità di registrazione e trasmissione dello schermo consentono infatti al malware di acquisire qualsiasi informazione sensibile visualizzata scorra sullo smartphone. Ciò include audio, password, informazioni di pagamento, foto e messaggi. La versione più recente ora porta con sé una funzionalità aggiuntiva che consente agli hacker di cancellare qualsiasi prova dei loro misfatti ripristinando le impostazioni di fabbrica di un dispositivo dopo aver rubato tutti, soldi compresi.
“Questo meccanismo rappresenta un kill switch per questo malware”, scrivono i ricercatori, osservando che il ripristino delle impostazioni di fabbrica viene spesso osservato dopo che “una frode bancaria è stata completata con successo”. In questo modo, la vittima “perderà ancora più tempo prima di capire che è avvenuta un’azione dannosa”, osservano. In altre parole, tutto è progettato per prendere alla cieca la vittima mentre i criminali informatici se la cavano con i loro beni illeciti.
Come difendersi dal virus che svuota il conto e distrugge lo smartphone
BRATA si maschera come uno scanner di sicurezza delle app che esorta gli utenti a installare falsi aggiornamenti critici o antivirus. Così però il virus infetta il dispositivo mobile su cui l’applicazione viene installata, combina le funzionalità di controllo completo dello smartphone con la capacità di acquisire le credenziali di blocco dello schermo (PIN, password o sequenza) e acquisisce le sequenze di tasti (funzionalità keylogger), monitorando le azioni di un utente senza consenso.
Conoscere ed effettuare solo azioni consapevoli sono le prime armi di difesa contro attacchi del genere. Per esempio, prima di installare qualsiasi cosa è opportuno informarsi. Solo perché un’app appare su Google Play o sull’App Store non significa che sia sicura. Prima di scaricare qualsiasi applicazione, è sempre meglio controllare le recensioni che ha. Se ha solo poche recensioni con commenti vaghi, potrebbe essere un’app nuova o falsa.
Inoltre, è importantissimo non fare mai clic su collegamenti esterni (specie se arriva da un numero sconosciuto). Banche e Istituti non chiedono quasi mai conferme tramite sms o e-mail, ma se una comunicazione simile dovesse arrivare, sempre meglio informarsi (magari chiamando la struttura o il servizio clienti) sulla veridicità della verifica.
Se il messaggio che contiene il link è pieno di errori di battitura ed errori grammaticali allora è sospetto: i tentativi di frode spesso vengono inviati a tutti indistintamente, con traduzioni o testi poco curati, perché puntano tutto sull’urgenza e la paura per spingere i destinatari a farsi prendere dal panico e a rispondere troppo rapidamente alla richiesta del mittente.
In linea generale, se si ricevono un’e-mail o SMS urgenti ma relativi a informazioni finanziarie o personali, è sempre meglio fare un respiro profondo e indagare sulla legittima della richiesta prima di procedere.
Infine, va ricordato che, proprio come i computer, i dispositivi mobili possono essere infettati da virus e malware. Abbonarsi e installare un antivirus per smartphone potrebbe essere una buona idea. Tuttavia, in termini di sicurezza informatica, la prima azione da intraprendere rimane sempre la prevenzione. Perché anche se dotati di un buon antivirus, il buon senso è comunque la prima arma di difesa
