Il Trojan Rotexy è sia banker, sia blocker

22 Nov 2018

Di recente, il malware Rotexy (un incrocio tra un Trojan bancario e un ransomware blocker) ha allungato i suoi tentacoli, ampliando la sua diffusione. Nei mesi di agosto e settembre scorsi, i nostri esperti hanno registrato oltre 40 mila tentativi di installazione di questa app dannosa sugli smartphone Android. Su Securelist abbiamo già pubblicato tutti i dettagli tecnici e le informazioni che lo riguardano; in questo articolo, invece, analizzeremo le fonti di infezione e come eliminare questo blocker senza alcun costo, inviando semplicemente un paio di SMS.

Come funziona il Trojan bancario Rotexy?

Rotexy si diffonde via SMS dal testo accattivante, che esorta a cliccare sul link presente nel messaggio per scaricare la app. In alcuni casi, questi messaggi vengono inviati dal numero di telefono di un amico o un conoscente, il che incoraggia i destinatari del messaggio a cliccare sul link.

Dopo aver infettato il dispositivo, il Trojan si prepara per entrare in azione. Innanzitutto, Rotexy cerca di capire su quale tipo di dispositivo si trova per ostacolare il lavoro dei ricercatori antivirus: se il malware si rende conto di trovarsi in un emulatore e non su un vero smartphone, l’app inizia a riavviarsi continuamente (nella versione più recente di Rotexy, questo trucchetto si verifica anche se il dispositivo si trova fuori dal territorio russo).

Solo quando il dispositivo soddisfa determinati requisiti, il Trojan inizia a svolgere il proprio lavoro. Il primo passo è la richiesta delle autorizzazioni da amministratore; in teoria, l’utente può rifiutarsi, ma la richiesta continuerà a saltar fuori all’infinito, rendendo difficile utilizzare lo smartphone. Dopo aver ottenuto furbescamente questa via preferenziale, Rotexy notifica che l’applicazione non può essere caricata correttamente e l’icona viene nascosta.

Nell’ombra, il malware si mette in contatto con i suoi creatori consegnando loro alcune informazioni sul dispositivo. I creatori inviano istruzioni al Trojan e una serie di template e messaggi. Di default, Rotexy è in contatto diretto con il server Command & Control, anche se i cybercriminali hanno implementato comunque altri modi per inviare ordini via SMS e Google Cloud Messaging.

Rotexy, il ladro di SMS

Rimanendo in argomento SMS, Rotexy non ne ha mai abbastanza. Quando arriva un messaggio sul dispositivo infetto, il malware imposta il dispositivo in modalità silenzioso affinché la vittima non si accorga dell’arrivo di un nuovo SMS. Il Trojan intercetta il messaggio, lo analizza utilizzando i template ricevuti dal server C&C e, se trova qualcosa di suo interesse (ad esempio, le ultime cifre di un numero di carta di credito in una notifica inviata via SMS dalla banca), mette da parte il messaggio e lo inoltra al server. Inoltre, il malware può rispondere a questi messaggi al posto del proprietario dello smartphone, e le risposte si trovano nei template che abbiamo menzionato.

Se per un qualche motivo, il Trojan non ha ricevuto i template o istruzioni speciali dal server C&C, Rotexy semplicemente salva tutti i messaggi presenti nei dispositivi infetto e li inoltra ai cybercriminali.

E, come se non bastasse, se i cybercriminali inviano uno specifico comando, il malware può inviare un link affinché tutti i contatti della rubrica ricevano il messaggio per scaricare il Trojan, ed è questo il sistema di propagazione principale del Trojan.

Rotexy, il Trojan bancario

La manipolazione degli SMS non è l’unico asso nella manica del malware, e neanche il più importante. L’obiettivo principale dei cybercriminali è di guadagnare soldi facili, soprattutto grazie al furto dei dati delle carte di credito. E per fare ciò, il malware sovrappone una pagina di phishing il cui contenuto proviene, come sempre, dalle istruzioni che servono anche per l’intercettazione degli SMS. L’aspetto della pagina può variare ma l’idea generale è quella di convincere il proprietario dello smartphone che dovrebbe ricevere un bonifico e, per ottenerlo, deve inserire i dati della propria carta di credito.

E per essere doppiamente sicuri, i creatori del malware hanno inserito un sistema di verifica per convalidare il numero della carta di credito. Innanzitutto, si verifica che il numero sia corretto (nel caso no lo sapeste, le cifre che compongono il numero della vostra carta di credito non sono casuali ma seguono determinate regole). Successivamente, Rotexy estrae le ultime quattro cifre intercettando l’SMS inviato dalla banca e le confronta con quelle inserite nella pagina di phishing. Se qualcosa non torna, il malware segnala un errore e invita l’utente a inserire il numero corretto della carta.

Rotexy, il ransomware

A volte Rotexy riceve altre istruzioni dal server C&C e si trova ad agire in una situazione diversa. Invece di mostrare una pagina di phishing, il malware blocca lo schermo dello smartphone aprendo una finestra con una richiesta di pagamento di una “multa” per “aver visualizzato regolarmente contenuti non appropriati”.

Rotexy imita l’installazione di un aggiornamento e dopo blocca lo schermo dello smartphone con la richiesta di pagamento di una multa per “aver visualizzato regolarmente contenuti non appropriati”.

Vengono allegate delle “prove” fotografiche, ovvero schermate di un video pornografico. Come spesso accade per tutti i ransomware mobile, i cybercriminali fingono di essere un qualche organo o ente ufficiale. Nel caso di Rotexy, viene citato un fantomatico ente di controllo di Internet dell’FSB russa (ma in Russia non esiste un’unità del genere).

Come sbloccare uno smartphone infettato dal Trojan Rotexy

La buona notizia è che si può sbloccare uno smartphone infetto, sbarazzandosi del “virus” senza l’aiuto di un esperto. Come abbiamo detto a inizio articolo, Rotexy riceve i comandi via SMS e il bello è che questi comandi non devono essere inviati da un numero nello specifico, chiunque può mandarli. Ciò vuol dire che se il vostro smartphone è bloccato e non potete chiudere la finestra creata dal malware, non dovete fare altro che prendere un altro telefono (di un amico o un parente, ad esempio) e seguire queste nostre semplici istruzioni:

  • Inviate un SMS al vostro numero con il messaggio “393838.” Il malware lo interpreterà come l’ordine di cambiare l’indirizzo del C&C, lasciando il campo vuoto e smettendo quindi di obbedire ai cybercriminali;
  • Mandate un altro messaggio al vostro numero, stavolta scrivendo “3458”: questo comando priverà il Trojan delle autorizzazioni di amministratore e scioglierà il nodo che soffoca il vostro dispositivo;
  • Infine, inviate un SMS al vostro telefono con il messaggio “stop_blocker”: questo comando costringerà Rotexy ad eliminare il sito o il banner che blocca lo schermo;
  • Se, dopo di ciò, il Trojan inizia a tartassarvi chiedendo nuovamente le autorizzazioni da amministratore, riavviate il dispositivo in modalità di sicurezza (qui potete vedere come fare), andate su Gestione applicazioni oppure Applicazioni e notifiche (in base alla versione di Android in uso, le impostazioni possono variare leggermente) ed eliminate il malware dal dispositivo (questa volta non opporrà resistenza). E il gioco è fatto!

Specifichiamo che le istruzioni proposte per sbloccare lo smartphone sono state elaborate analizzando la versione attuale di Rotexy e le cose possono cambiare nelle future versioni. Per maggiori dettagli tecnici sul Trojan, potete consultare il nostro report dedicato su Securelist.

Come difendersi da Rotexy e dagli altri Trojan mobile

Ovviamente, potete risparmiarvi l’intera procedura (e tante ansie) semplicemente evitando a monte l’infezione del vostro smartphone. Non è poi così difficile, basta soltanto seguire queste semplici regole:

  • Non cliccate su link sospetti presenti negli SMS. Anche se avete curiosità e il messaggio sembra provenire da un amico, prima di aprire il link accertatevi che la persona in questione abbia davvero inviato l’SMS;
  • Scaricate le app Android solo da Google Play. Conviene anche bloccare l’installazione di programmi da fonti sconosciute, potete farlo dalle impostazioni dello smartphone;
  • Avvaletevi di una soluzione antivirus affidabile per dispositivi mobili, che vi proteggerà dai malware anche quando cliccate su qualcosa di pericoloso senza volerlo.