Il Trojan bancario Faketoken e i suoi SMS offensivi

L’inventiva dei creatori di virus non ha limiti. Alcune applicazioni ransomware possono effettuare il mining mentre altri Trojan bancari ricattano le proprie vittime. Faketoken può sembrare un nome divertente, ma questo Trojan bancario rivolto ai dispositivi Android in realtà è una cosa seria.

Faketoken: da ladro di SMS a banker full optional

Il Trojan bancario Faketoken è in circolazione da un bel po’ di tempo; nel 2014 è entrato nella nostra top 20 delle minacce mobile più diffuse. All’epoca il malware funzionava in collaborazione con i Trojan bancari per computer fissi. L’applicazione desktop hackerava i conti delle vittime e prelevava il denaro, mentre Faketoken intercettava i messaggi di testo contenenti le password usa e getta utilizzate per confermare le transazioni.

Nel 2016, Faketoken è diventato un vero e proprio Trojan del mobile banking, rubando direttamente il denaro. Si sovrapponeva ad altre app con finestre finte che ingannano gli utenti, per indurli a inserire le credenziali di accesso e le informazioni delle  carte di credito. Funzionava anche efficacemente come ransomware, bloccando gli schermi dei dispositivi infetti e criptando i loro file.

Nel 2017, Faketoken era in grado di imitare molte app per rubare i dati dei conti bancari, come app per il mobile banking, e-wallet come Google Pay e persino app per il servizio taxi o per il pagamento di multe.

La svolta inaspettata di Faketoken

Non molto tempo fa, il nostro sistema di monitoraggio dell’attività botnet (Botnet Attack Tracking) ha rilevato quanto segue: circa cinquemila smartphone infettati da Faketoken avevano iniziato a inviare messaggi di testo offensivi. Piuttosto strano.

La funzionalità SMS è infatti una caratteristica standard delle applicazioni malware per dispositivi mobili, molte delle quali si diffondono attraverso i link di download che inviano ai contatti delle vittime. Inoltre, i Trojan bancari per smartphone richiedono spesso di diventare l’applicazione SMS predefinita per poter intercettare i messaggi contenenti i codici di conferma. Ma perché il malware bancario si trasforma in uno strumento di messaggistica di massa? Non avevamo mai visto una cosa del genere prima.

SMS all’estero a vostre spese

Le attività di messaggistica del Faketoken sono a carico dei proprietari dei dispositivi infettati dal Trojan bancario. Prima di inviare qualsiasi cosa, il Trojan verifica che il conto bancario delle vittime disponga di denaro sufficiente. In caso positivo, il malware utilizza la carta per ricaricare il saldo telefonico prima di procedere con i messaggi.

Molti degli smartphone infettati dal Trojan bancario Faketoken hanno inviato SMS a un numero straniero, per cui i messaggi inviati dal Trojan sono costati un bel po’ agli utenti.

Proteggersi da Faketoken

Non sappiamo ancora se questa tattica di Faketoken sia una strategia una tantum o l’inizio di una tendenza nell’ambito dei Trojan bancari. Per ora però, per evitare di esserne vittime di questo Trojan, vi invitiamo a seguire questi consigli di sicurezza:

• Utilizzate solo applicazioni distribuite da Google Play e usate le impostazioni del vostro telefono per disattivare il download di app di terze parti;

• Non fate click sui link presenti nei messaggi, a meno che non siate sicuri che siano affidabili, inclusi i messaggi di persone che conoscete. Ad esempio, se qualcuno che normalmente pubblica foto sui social o che le invia tramite le applicazioni di messaggistica istantanea vi invia invece un messaggio di testo con un link, è sicuramente un campanello d’allarme;

• Installate una soluzione di sicurezza  affidabile. Kaspersky Internet Security for Android rileva e blocca Faketoken, così come altre applicazioni malware.