D3Lab ha rilevato e condiviso con il CERT-AgID un campione di malware per dispositivi Android individuato in una campagna di smishing contro utenti italiani.
La campagna è veicolata tramite link riportato in un SMS e la pagina di download risulta visibile solo se visitata da un browser che si presenti con User-Agent Android. Il file malevolo, in questo caso un APK riconducibile a Hydra, viene scaricato dai server Discord.
Attraverso questa pagina la vittima viene invitata a scaricare (o aggiornare) l’app Coinbase. Laddove l’utente procede con il download, il dispositivo Android viene compromesso dal trojan bancario Hydra mettendo a rischio le password degli account bancari e i portafogli di criptovalute.
Il campione osservato dal CERT-AgID prende di mira 338 applicazioni, per lo più bancarie (tra le quali sono presenti diverse applicazioni di istituti bancari italiani) e presenta funzionalità che gli permettono di prendere il controllo del dispositivo: dalla gestione completa degli SMS alla possibilità di accedere al device compromesso tramite TeamViewer, al furto del PIN e all’interazione del bot con il C2 per ricevere comandi ed eseguire nuove istruzioni.
Sebbene questa campagna fosse rivolta a utenti italiani, si è scoperto che il malware effettua un controllo sull’IP con cui il dispositivo è connesso a Internet per analizzarne il country code: gli unici paesi esclusi dalla compromissione sono Russia e Ucraina.
Il CERT-AGID, al fine di rendere pubblici i dettagli della campagna, ha riportato gli IoC rilevati e già condivisi con le organizzazioni accreditate.
https://cert-agid.gov.it/news/malware/analisi-del-trojan-bancario-hydra-diffuso-in-italia/
