Il Trojan brasiliano Android Coybot torna di nuovo selvaggio
Il Trojan Coybat Android o anche chiamato BasBanke Trojan è una nota infezione da Trojan che colpisce gli utenti del Brasile. È stato rilevato per la prima volta nell’ottobre 2018 e da allora è apparso in varie campagne. Si concentra sugli utenti Android e offre i seguenti pacchetti creati dagli hacker:
- GoogleSystem (gover.may.murder) – 585b675829dcab9f014d0a29861d8b7a77f41b249afc6009833436b95ccf6010
- AAABOBRA (gover.may.murder) – f83e570656943539fa934f2dd0a4fbaec8a4792bb2ed3701b0acf8c924556b9
- SisParte (gover.may.murder) – 09bf981e5de5edaf39cc582a67f4f2561cba3e153f2ccf269514d839c73031f7
- Atributos <(sforca.jyio.pele) – bf20ad4fcc9fb6910e481a199bb7da649bcd29dd91846692875a3a2c737b88d9
Sembra che gli hacker utilizzino varie tecniche di distribuzione per la distribuzione del malware. Oltre al solito caricamento su vari repository online, il malware è distribuito tramite una campagna di posta elettronica con truffa in cui gli hacker creano un profilo falso e offrono virus da scaricare incorporati con un formato di file di qualsiasi tipo inclusi eseguibili, archivi, Ms Office, documenti PDF ed ecc. che è allegato in un’e-mail. Brevi messaggi all’interno di questo tipo di e-mail danno l’impressione che l’e-mail sia legittima e gli allegati come un documento importante da scaricare. Alcuni altri luoghi comuni in cui tali file o pacchetti di virus possono essere diffusi includono Facebook e WhatsApp.
Funzionamento del Trojan Android brasiliano Coybot
In seguito a un’infiltrazione riuscita, Coybot Trojan richiede innanzitutto agli utenti le autorizzazioni appropriate mediante un pop-up che consente a Trojan di attivarsi con ogni riavvio del sistema operativo e di essere sempre in esecuzione in background. Il prossimo processo è il lancio di alcuni componenti Trojan che consentono di dirottare le informazioni. Ciò è pericoloso in quanto può raccogliere le transazioni bancarie e i pagamenti online che possono essere reindirizzati ai conti bancari controllati dagli hacker.
Il Coybot lo nasconde dai servizi di sicurezza con un mezzo di crittografia: si crittografa da un algoritmo base64. Come altri Trojan, può connettere server di comando e controllo remoti e consentire loro di assumere il controllo completo sui sistemi. Può fornire altri malware dannosi tra cui una minaccia di finestra chiamata Pazara.