Bizarro Banking Trojan

Un nuovo sofisticato Trojan bancario per Android viene sfruttato contro gli utenti in Europa e Sud America. La minaccia si chiamava Bizarro e appartiene al gruppo dei Trojan bancari brasiliani. Invece di operare localmente come di solito, Bizarro si è scatenato a livello globale con una maggiore attenzione agli utenti situati in Argentina, Cile, Germania, Francia, Italia, Spagna e Portogallo.

L'obiettivo dell'attore della minaccia è ottenere le credenziali bancarie online dai dispositivi Android compromessi, oltre a dirottare i portafogli Bitcoin. Oltre 70 banche sono state prese di mira dal Trojan bancario Bizarro. Si diffonde attraverso i pacchetti di Microsoft Installer che vengono forniti tramite collegamenti nelle e-mail di spam o rilasciati da applicazioni armate.

Una volta che Bizarro è stato consegnato al dispositivo Android dell'utente, procederà a terminare tutti i processi del browser attualmente attivi. L'obiettivo è interrompere qualsiasi potenziale sessione con siti Web bancari che potrebbe essere in esecuzione al momento. La vittima sarà quindi costretta a inserire nuovamente le proprie credenziali bancarie, ma questa volta il malware tenterà di raccogliere informazioni. Per aumentare le sue possibilità di successo, Bizarro intraprende ulteriori passaggi per disabilitare il completamento automatico e generare falsi pop-up per intercettare eventuali codici di autenticazione a due fattori. Il trojan bancario è inoltre dotato di funzionalità di cattura dello schermo. L'aspetto più minaccioso e ciò che distingue Bizarro dalla maggior parte degli altri trojan bancari è il suo modulo backdoor a tutti gli effetti.

Una potente funzionalità backdoor

Il modulo backdoor di Bizarro può riconoscere ed eseguire oltre 100 comandi diversi. La backdoor non si attiva immediatamente, però. Attende fino a quando non viene rilevata una connessione a un sistema bancario in linea che corrisponde a un elenco di stringhe codificate. Solo in seguito vengono attivati i componenti principali della backdoor. In generale, l'attore della minaccia sarà in grado di ottenere dati sul sistema della vittima; cercare, esfiltrare o scaricare file nel sistema; assumere il controllo dei dispositivi di input come un mouse o una tastiera; visualizzare messaggi di phishing come finte finestre pop-up.

Bizarro può scaricare immagini JPEG contenenti determinati loghi bancari e istruzioni per le vittime di imitare sistemi bancari online selezionati. Le immagini vengono recuperate dal server Command-and-Control (C2, C&C) e vengono archiviate nella directory del profilo dell'utente in forma crittografata. Il malware può anche mostrare messaggi personalizzati. In questo modo, Bizarro può bloccare in modo efficace il dispositivo compromesso. Durante la visualizzazione del messaggio personalizzato, gli utenti non potranno chiuderlo o nemmeno aprire Task Manager. Allo stesso tempo, lo schermo sarà disattivato e la barra delle applicazioni nascosta.

L'operazione Bizarro sembra essere abbastanza sofisticata con l'attore della minaccia che impiega vari affiliati e muli per eseguire diverse azioni. Questi possono variare dal semplice aiuto con le traduzioni a schemi di riciclaggio di denaro o facilitando gli attacchi iniziali contro i dispositivi degli utenti.