Gli esperti di sicurezza di ESET NOD32 mettono in guardia la comunità di utenti Facebook e segnalano la presenza di una schermata fake che potrebbe apparire in fase di accesso a Facebook. Stiamo parlando di una minaccia per i conti correnti bancari che opera attraverso un attacco mirato agli smartphone Android.
La schermata richiede l’inserimento, per fittizi motivi di sicurezza, del proprio numero di cellulare a scopo identificativo. È bene precisare che il messaggio non è generato da Facebook e che gli hacker utilizzano un famigerato Trojan, chiamato Win32/Qadars, per far visualizzare il messaggio fuorviante su Facebook. Si tratta di un tentativo di infettare gli smartphone con il malware Android iBanking (già rilevato dai ricercatori di ESET come Android/Spy.Agent.AF), che permette agli hacker di ascoltare le chiamate, di intercettare gli SMS e tutte le conversazioni effettuate in prossimità del telefono, carpendo potenzialmente anche i dati bancari dell’utente.
Nel dettaglio, il malware Win32/Qadars viene utilizzato per iniettare il messaggio nel browser tramite JavaScript, facendolo apparire, a tutti gli effetti, come un messaggio mostrato da Facebook. Se si commette l’errore di inserire il numero di cellulare, sarà richiesto di scaricare un’App per smartphone Android. L’applicazione è ospitata da un sito diverso dall’ufficiale e più attendibile Google Play Store. In questo caso potrebbe essere necessario modificare le impostazioni di Android per consentire l’installazione. Una volta installato, il Trojan è in grado di spiare le comunicazioni dell’utente, comprese le chiamate vocali e i messaggi SMS, accedere alle liste dei contatti e ai registri delle chiamate, registrare l’audio catturato dal microfono del dispositivo Android in qualsiasi momento e individuare le sue coordinate GPS. In passato Android iBanking è stato utilizzato per aggirare i sistemi di autenticazione a due fattori intercettando gli mTAN, numeri di autorizzazione di transazioni mobili, inviati via SMS da molte banche on-line e dai social network Google+, Twitter e Facebook. Riconoscendo come i metodi di autenticazione a due fattori siano sempre più utilizzati da servizi Web, bancari e non, negli ultimi tempi i cybercriminali hanno cominciato a perfezionare ulteriormente le tecniche per tentare di aggirarli. Sebbene il malware possa essere usato per rubare i token di autenticazione a due fattori su una varietà di siti web, tra cui i social network, sembra probabile – sempre secondo i ricercatori ESET – che per ancora un po’ di tempo i principali bersagli saranno i conti bancari online.
