{"id":16624,"date":"2018-11-22T16:45:17","date_gmt":"2018-11-22T14:45:17","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=16624"},"modified":"2020-05-19T19:31:08","modified_gmt":"2020-05-19T17:31:08","slug":"rotexy-banker-blocker","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/rotexy-banker-blocker\/16624\/","title":{"rendered":"Il Trojan Rotexy \u00e8 sia banker, sia blocker"},"content":{"rendered":"

Di recente, il malware Rotexy (un incrocio tra un Trojan bancario e un ransomware blocker<\/a>) ha allungato i suoi tentacoli, ampliando la sua diffusione. Nei mesi di agosto e settembre scorsi, i nostri esperti hanno registrato oltre 40 mila tentativi di installazione di questa app dannosa sugli smartphone Android. Su Securelist abbiamo gi\u00e0 pubblicato tutti i dettagli tecnici e le informazioni che lo riguardano<\/a>; in questo articolo, invece, analizzeremo le fonti di infezione e come eliminare questo blocker senza alcun costo, inviando semplicemente un paio di SMS.<\/p>\n\n

Come funziona il Trojan bancario Rotexy?<\/h3>\n

Rotexy si diffonde via SMS dal testo accattivante, che esorta a cliccare sul link presente nel messaggio per scaricare la app. In alcuni casi, questi messaggi vengono inviati dal numero di telefono di un amico o un conoscente, il che incoraggia i destinatari del messaggio a cliccare sul link.<\/p>\n

Dopo aver infettato il dispositivo, il Trojan si prepara per entrare in azione. Innanzitutto, Rotexy cerca di capire su quale tipo di dispositivo si trova per ostacolare il lavoro dei ricercatori antivirus: se il malware si rende conto di trovarsi in un emulatore e non su un vero smartphone, l\u2019app inizia a riavviarsi continuamente (nella versione pi\u00f9 recente di Rotexy, questo trucchetto si verifica anche se il dispositivo si trova fuori dal territorio russo).<\/p>\n

Solo quando il dispositivo soddisfa determinati requisiti, il Trojan inizia a svolgere il proprio lavoro. Il primo passo \u00e8 la richiesta delle autorizzazioni da amministratore<\/a>; in teoria, l\u2019utente pu\u00f2 rifiutarsi, ma la richiesta continuer\u00e0 a saltar fuori all\u2019infinito, rendendo difficile utilizzare lo smartphone. Dopo aver ottenuto furbescamente questa via preferenziale, Rotexy notifica che l\u2019applicazione non pu\u00f2 essere caricata correttamente e l\u2019icona viene nascosta.<\/p>\n

Nell\u2019ombra, il malware si mette in contatto con i suoi creatori consegnando loro alcune informazioni sul dispositivo. I creatori inviano istruzioni al Trojan e una serie di template e messaggi. Di default, Rotexy \u00e8 in contatto diretto con il server Command & Control, anche se i cybercriminali hanno implementato comunque altri modi per inviare ordini via SMS e Google Cloud Messaging.<\/p>\n

Rotexy, il ladro di SMS<\/h3>\n

Rimanendo in argomento SMS, Rotexy non ne ha mai abbastanza. Quando arriva un messaggio sul dispositivo infetto, il malware imposta il dispositivo in modalit\u00e0 silenzioso affinch\u00e9 la vittima non si accorga dell\u2019arrivo di un nuovo SMS. Il Trojan intercetta il messaggio, lo analizza utilizzando i template ricevuti dal server C&C e, se trova qualcosa di suo interesse (ad esempio, le ultime cifre di un numero di carta di credito in una notifica inviata via SMS dalla banca), mette da parte il messaggio e lo inoltra al server. Inoltre, il malware pu\u00f2 rispondere a questi messaggi al posto del proprietario dello smartphone, e le risposte si trovano nei template che abbiamo menzionato.<\/p>\n

Se per un qualche motivo, il Trojan non ha ricevuto i template o istruzioni speciali dal server C&C, Rotexy semplicemente salva tutti i messaggi presenti nei dispositivi infetto e li inoltra ai cybercriminali.<\/p>\n

E, come se non bastasse, se i cybercriminali inviano uno specifico comando, il malware pu\u00f2 inviare un link affinch\u00e9 tutti i contatti della rubrica ricevano il messaggio per scaricare il Trojan, ed \u00e8 questo il sistema di propagazione principale del Trojan.<\/p>\n

Rotexy, il Trojan bancario<\/h3>\n

La manipolazione degli SMS non \u00e8 l\u2019unico asso nella manica del malware, e neanche il pi\u00f9 importante. L\u2019obiettivo principale dei cybercriminali \u00e8 di guadagnare soldi facili, soprattutto grazie al furto dei dati delle carte di credito. E per fare ci\u00f2, il malware sovrappone una pagina di phishing il cui contenuto proviene, come sempre, dalle istruzioni che servono anche per l\u2019intercettazione degli SMS. L\u2019aspetto della pagina pu\u00f2 variare ma l\u2019idea generale \u00e8 quella di convincere il proprietario dello smartphone che dovrebbe ricevere un bonifico e, per ottenerlo, deve inserire i dati della propria carta di credito.<\/p>\n

E per essere doppiamente sicuri, i creatori del malware hanno inserito un sistema di verifica per convalidare il numero della carta di credito. Innanzitutto, si verifica che il numero sia corretto (nel caso no lo sapeste, le cifre che compongono il numero della vostra carta di credito non sono casuali ma seguono determinate regole). Successivamente, Rotexy estrae le ultime quattro cifre intercettando l\u2019SMS inviato dalla banca e le confronta con quelle inserite nella pagina di phishing. Se qualcosa non torna, il malware segnala un errore e invita l\u2019utente a inserire il numero corretto della carta.<\/p>\n

Rotexy, il ransomware<\/h3>\n

A volte Rotexy riceve altre istruzioni dal server C&C e si trova ad agire in una situazione diversa. Invece di mostrare una pagina di phishing, il malware blocca lo schermo dello smartphone aprendo una finestra con una richiesta di pagamento di una \u201cmulta\u201d per \u201caver visualizzato regolarmente contenuti non appropriati\u201d.<\/p>\n

\"\"

Rotexy imita l\u2019installazione di un aggiornamento e dopo blocca lo schermo dello smartphone con la richiesta di pagamento di una multa per \u201caver visualizzato regolarmente contenuti non appropriati\u201d.<\/p><\/div>\n

Vengono allegate delle \u201cprove\u201d fotografiche, ovvero schermate di un video pornografico. Come spesso accade per tutti i ransomware mobile, i cybercriminali fingono di essere un qualche organo o ente ufficiale. Nel caso di Rotexy, viene citato un fantomatico ente di controllo di Internet dell\u2019FSB russa (ma in Russia non esiste un\u2019unit\u00e0 del genere).<\/p>\n

Come sbloccare uno smartphone infettato dal Trojan Rotexy<\/h3>\n

La buona notizia \u00e8 che si pu\u00f2 sbloccare uno smartphone infetto, sbarazzandosi del \u201cvirus\u201d senza l\u2019aiuto di un esperto. Come abbiamo detto a inizio articolo, Rotexy riceve i comandi via SMS e il bello \u00e8 che questi comandi non devono essere inviati da un numero nello specifico, chiunque pu\u00f2 mandarli. Ci\u00f2 vuol dire che se il vostro smartphone \u00e8 bloccato e non potete chiudere la finestra creata dal malware, non dovete fare altro che prendere un altro telefono (di un amico o un parente, ad esempio) e seguire queste nostre semplici istruzioni:<\/p>\n