I criminali che stanno dietro il temibile malware bancario Anubis sono diventati grandi fan di Twitter e, in misura crescente, della messaggistica sicura di Telegram.
Non c’è nulla di nuovo nel veicolare malware sui servizi più diffusi, ma perché Twitter e Telegram? E perché la recente migrazione verso la messaggistica sicura è significativa?
Come spiegano i SophosLabs in una nuova analisi, Anubis prende in prestito questi servizi per ospitare le istruzioni di comando e controllo (C2) che il malware raggiunge dopo la prima installazione su un sistema di destinazione.
Twitter è attraente perché la sua popolarità e la sua ubiquità significano che i suoi domini hanno meno probabilità di essere bloccati dal filtro web.
Nonostante ciò, i SophosLabs hanno recentemente notato che Anubis si sposta da Twitter per usare quasi esclusivamente Telegram.
Forse la sicurezza interna di Twitter è migliorata a tal punto da bloccare i domini di Anubis con la stessa rapidità con cui sono stati impostati. Gli autori di malware sanno che prima o poi succede, ma se si tratta di pochi minuti o poche ore, potrebbe essere svantaggioso.
In realtà, anche Telegram è abbastanza bravo nel sospendere gli account che abusano del servizio. Tuttavia, scrive il ricercatore di SophosLabs, Jagadeesh Chandraiah:
Quando Telegram rimuove l’account utilizzato per il C2, è probabile che diverse vittime abbiano già installato il malware e ottenuto l’indirizzo iniziale del server C2 dall’account Telegram malevolo.
Che Anubi abbia anche usato i caratteri cinesi come una forma di offuscamento forse offre un indizio sulla motivazione dei criminali – è un tentativo di acquisire un po’ più di tempo rendendo le cose più complicate per gli analisti di malware.
Nascosto in Telegram
Forse i criminali pensano che l’uso di Telegram, un servizio che utilizza una crittografia end-to-end di tutto rispetto per proteggere i messaggi da occhi indiscreti, manterrà il loro traffico nascosto.
Se è così, si sbagliano. Mentre i messaggi Telegram inviati e ricevuti vengono crittografati, i registri di sistema Android creati dalle app che fanno capo ad Anubis non lo sono. Questi ultimi, come hanno scoperto i SophosLabs, possono essere letti abbastanza facilmente.
Si potrebbe sostenere che si tratta di un guasto tecnico fortunato. Una versione futura potrebbe scoprire un modo per evitare di lasciare una traccia simile in chiaro, portando la sua comunicazione C2 oltre la portata dei ricercatori.
Prendere in prestito la sicurezza per nascondere cose cattive è qualcosa che affligge piattaforme come Telegram fin quasi dall’inizio. Non è un problema che affigge solo Telegram, ma WhatsApp, Facebook Messenger e altri sono stati implicati in momenti diversi.
Ciò che attrae i criminali non è semplicemente la crittografia e l’automazione dei bot di queste piattaforme, ma il fatto che ce ne siano così tante tra cui scegliere.
La maggior parte degli utenti sceglie una piattaforma di messaggistica perché sa che anche i suoi amici la usano. I criminali non hanno queste preoccupazioni e possono migrare da una piattaforma di nicchia ad un’altra per evitare i ficcanaso.
Dopo tre decenni di divulgazione, una buona crittografia è ormai sulla buona strada per diventare qualcosa a cui chiunque può accedere, inclusi i criminali. Mentre le backdoor hanno poche possibilità di invertire questa tendenza, la ricerca dei SophosLabs sottolinea come il dispositivo stesso sia ancora un punto debole.
Le API sono alla portata di chiunque ma lo sono anche i dispositivi su cui queste applicazioni protette devono funzionare.
Lascia un commento