Wroba Trojan

Il Trojan Wroba è una minaccia Trojan mobile che è stata distribuita contro utenti in Giappone, Corea e in altri luoghi della regione almeno dal 2013. Tuttavia, gli hacker dietro questa minaccia malware l'hanno ora dotata di diverse tecniche moderne e le hanno scatenate contro utenti negli Stati Uniti per la prima volta, mostrando una significativa espansione della sua portata.

Le versioni iniziali di Wroba sono state scoperte fingendo di essere un'applicazione legittima del Google Play Store, mentre le iterazioni successive hanno abusato delle impostazioni DNS dei router compromessi per inviare gli utenti a siti Web danneggiati. Il vettore di distribuzione più recente per il trojan Wroba è tramite il cosiddetto "smishing" - SMS di phishing. Gli hacker inviano avvisi di consegna di pacchi falsificati progettati per imitare i messaggi provenienti da servizi di consegna di pacchi legittimi specifici per ciascun paese attaccato.

Il trojan Wroba è ancora in fase di sviluppo da parte degli hacker

Il Trojan Wroba può influenzare i dispositivi iOS e Android, ma i suoi obiettivi sono diversi per i due ambienti mobili. Se gli utenti Android fanno clic sul collegamento dalla notifica di consegna del pacco falso, vengono indirizzati a un sito Web danneggiato che tenta di indurli a scaricare il malware che questa volta è mascherato da un presunto aggiornamento del browser. Il sito Web afferma che il browser del dispositivo compromesso è obsoleto e deve essere aggiornato immediatamente. Questo metodo di distribuzione, tuttavia, non funziona sui dispositivi iOS. Invece, Wroba reindirizza gli utenti a una pagina di phishing creata per sembrare simile a una pagina di accesso Apple come in un possibile tentativo di raccogliere le credenziali dell'ID Apple.

Se il Trojan Wroba riesce a infiltrarsi con successo in un dispositivo, può eseguire un'ampia gamma di funzioni dannose. Il Trojan può accedere agli elenchi di contatti dell'utente, enumerare i pacchetti installati, sovrapporre pagine di accesso per vari istituti bancari con pagine di phishing per raccogliere le credenziali dell'account, ottenere dettagli sulle transazioni finanziarie e tentare di diffondersi ulteriormente inviando falsi messaggi SMS.

Sebbene Wromba Trojan abbia al centro le funzionalità di un tipico malware mobile, le sue ultime versioni mostrano che gli hacker dietro di esso lo stanno ancora aggiornando. Ad esempio, Wroba mostra alcune tecniche raramente viste come l'utilizzo del formato MessagePack e della crittografia DES per nascondere il traffico di comunicazione alla sua infrastruttura Command-and-Control (C2, C&C). Una delle ultime tendenze tra i cybercriminali è quella di utilizzare servizi sociali legittimi come luoghi morti per i dati codificati. Il Trojan Wroba tiene il passo e può anche modificare il suo elenco di server C2 in base alle informazioni ottenute dagli account dei social media impostati dagli hacker.