Come rimuovere il trojan bancario TsarBot dal vostro dispositivo Android
Scitto da Tomas Meskauskas il
Che tipo di malware è TsarBot?
TsarBot è un malware multifunzionale che colpisce i dispositivi Android. Nello specifico, si tratta di un trojan bancario progettato per ottenere informazioni associate a oltre 750 applicazioni legate alla finanza di varie regioni.
TsarBot è stato preso di mira da utenti situati in Australia, Francia, India, Polonia, Emirati Arabi Uniti e Regno Unito. Ci sono prove che suggeriscono che questo trojan è stato sviluppato da uno sviluppatore di lingua russa.
Panoramica del malware TsarBot
TsarBot abusa dei servizi di accessibilità di Android, un modus operandi standard per il malware che colpisce i sistemi operativi Android. Questi servizi sono progettati per fornire un ulteriore aiuto nell'interazione con il dispositivo agli utenti che lo richiedono (ad esempio, lettura dello schermo, manipolazione del touchscreen, simulazione dell'input da tastiera, ecc.) Di conseguenza, il software dannoso che abusa dei servizi di accessibilità ottiene tutte le loro funzionalità.
Al momento della ricerca, TsarBot si è camuffato da un aggiornamento dei Google Play Services che richiedeva l'abilitazione dei servizi di accessibilità di Android.
La capacità principale di TsarBot è quella di ottenere dati sensibili da varie applicazioni attraverso attacchi overlay. Dopo aver stabilito un contatto con il suo server C&C (Command and Control), recupera gli overlay delle applicazioni mirate e li incrocia con un elenco di software installati sul dispositivo infetto. Se trova un'applicazione di interesse, il malware scarica il pacchetto associato.
Come accennato nell'introduzione, questo trojan prende di mira oltre 750 applicazioni, tra cui applicazioni bancarie, finanziarie, di criptovalute, di e-commerce (negozi online) e social media. L'attacco funziona sovrapponendo a un'app autentica una schermata di phishing che registra le informazioni inserite.
Le sovrapposizioni possono essere pagine di accesso, moduli di pagamento e simili, attraverso i quali i criminali informatici possono ottenere credenziali di accesso, dati di identificazione personale e numeri di carte di credito/debito. Dopo che l'attacco di overlay è stato portato a termine con successo (i dati vulnerabili sono stati estratti), l'app corrispondente viene rimossa dall'elenco dei bersagli per evitare che l'attacco si ripeta.
TsarBot è anche in grado di controllare i dispositivi da remoto eseguendo gesti, strisciate e tocchi. Può quindi eseguire varie operazioni fraudolente (come effettuare transazioni monetarie), nascondendo l'attività sotto una schermata scura. Questo programma maligno ha la capacità di keylogging (cioè di registrare le battute dei tasti).
TsarBot è in grado di intercettare gli SMS; questa capacità potrebbe essere utilizzata per ottenere codici OTP (One-Time Password) e 2FA/MFA (Two/Multi-Factor Authentication). Altre funzionalità includono l'acquisizione dei dati di blocco del dispositivo (pattern, password o PIN), lo zoom in/out, la visualizzazione della schermata iniziale, l'avvio di un'app specifica, l'incollaggio di testo, ecc.
Va detto che gli sviluppatori di malware spesso migliorano le loro creazioni e metodologie. Pertanto, potenziali versioni future di TsarBot potrebbero avere funzionalità e caratteristiche aggiuntive/differenti.
In sintesi, la presenza di software come il trojan bancario TsarBot sui dispositivi può portare a gravi problemi di privacy, perdite finanziarie e furti di identità.
| Nome | TsarBot malware |
| Tipo di minaccia | Malware Android, applicazione dannosa, trojan, trojan bancario. |
| Nomi di rilevamento | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Trojan.Banker.ATD), ESET-NOD32 (Una variante di Android/Spy.Agent.EBR), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Agent.ue), Elenco completo (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni di sistema vengono modificate senza l'autorizzazione dell'utente, compaiono applicazioni discutibili, l'utilizzo dei dati e della batteria aumenta in modo significativo. |
| Metodi di distribuzione | Allegati email infetti, pubblicità online dannose, social engineering, applicazioni ingannevoli, siti web truffa. |
| Domini correlati | solphoton[.]io; solphoton[.]app; cashraven[.]online |
| Danni | Furto di informazioni personali (messaggi privati, login/password, ecc.), riduzione delle prestazioni del dispositivo, batteria che si scarica rapidamente, riduzione della velocità di Internet, ingenti perdite di dati, perdite monetarie, furto di identità (le app dannose potrebbero abusare delle app di comunicazione). |
| Rimozione dei malware (Android) | Per eliminare possibili infezioni malware, scansiona il tuo dispositivo mobile con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Esempi di trojan specifici per Android
Crocodilus, PlayPraetor, Marcher e ToxicPanda sono solo alcuni dei nostri articoli più recenti sul malware Android che mira ai dati finanziari.
Il software dannoso può avere un'ampia gamma di funzionalità o essere progettato per uno scopo limitato. Tuttavia, indipendentemente dal modo in cui il malware opera, la sua presenza su un sistema mette a rischio l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, tutte le minacce devono essere eliminate immediatamente dopo il rilevamento.
Come si è infiltrato TsarBot nel mio dispositivo?
TsarBot è stato proliferato attraverso siti web dannosi camuffati da piattaforme finanziarie esistenti o da pagine che utilizzano esche incentrate sul reddito passivo. Un esempio notevole è stato una pagina web che imitava la piattaforma di trading decentralizzata Photon SOL e che offriva un'app di trading scaricabile, cosa che il sito ufficiale non fa.
Sono possibili altri metodi di distribuzione. Le tattiche di phishing e social engineering sono standard nella proliferazione del malware. Il software dannoso è spesso camuffato o fornito in bundle con contenuti ordinari.
Le tecniche di distribuzione più diffuse includono: download drive-by (furtivi/ingannevoli), malvertising, truffe online, canali di download dubbi (ad esempio, siti di file-hosting freeware e gratuiti, reti di condivisione P2P, app store di terze parti, ecc.), allegati/link dannosi nella posta indesiderata (ad esempio, e-mail, SMS, PM/DM, ecc.), contenuti pirata, strumenti illegali di attivazione del software ("crack") e falsi aggiornamenti.
Inoltre, alcuni programmi dannosi possono diffondersi autonomamente attraverso le reti locali e i dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, chiavette USB, ecc.).
Come evitare l'installazione di malware?
La cautela è fondamentale per la sicurezza del dispositivo e dell'utente. Pertanto, prima di scaricare o acquistare un software, è necessario effettuare sempre una ricerca. Scaricare solo da fonti ufficiali e verificate. Attivate e aggiornate i programmi utilizzando funzioni/strumenti forniti da sviluppatori legittimi, poiché quelli ottenuti da terzi potrebbero contenere malware.
Inoltre, è bene prestare attenzione durante la navigazione, poiché Internet è pieno di contenuti ingannevoli e dannosi. Trattate con cautela le e-mail e gli altri messaggi in arrivo; non aprite gli allegati o i link presenti in comunicazioni sospette/irrilevanti.
È fondamentale installare e tenere aggiornato un antivirus affidabile. Il software di sicurezza deve essere utilizzato per eseguire scansioni regolari del sistema e per rimuovere le minacce rilevate.
Sito web falso di Photon SOL che distribuisce il trojan TsarBot:
TsarBot che richiede l'autorizzazione all'accessibilità come aggiornamento di Google Play Services (fonte immagine - Cyble):
Esempi di overlay visualizzati da TsarBot (fonte immagine - Cyble):
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuate i siti Web che forniscono notifiche del browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Reimpostare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".
Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Reimpostare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia da rete mobile che da rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "Applicazioni di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo Android è stato infettato dal malware TsarBot, devo formattare il dispositivo di archiviazione per eliminarlo?
La rimozione del malware raramente richiede la formattazione.
Quali sono i maggiori problemi che il malware TsarBot può causare?
Le minacce associate a un'infezione dipendono dalle capacità del programma dannoso e dagli obiettivi dei criminali informatici. TsarBot è un trojan bancario che prende di mira le informazioni relative alla finanza, comprese le credenziali di accesso (ad esempio, banche, e-commerce, criptovalute, ecc.) e i numeri delle carte di credito/debito. Questo tipo di infezione può causare gravi problemi di privacy, perdite finanziarie e furti di identità.
Qual è lo scopo del malware TsarBot?
Il malware viene utilizzato principalmente per scopi finanziari. Tuttavia, i criminali informatici possono utilizzare il software dannoso anche per divertirsi, portare avanti vendette personali, interrompere processi (ad esempio, siti web, servizi, aziende, ecc.), impegnarsi nell'hacktivismo e lanciare attacchi a sfondo politico/geopolitico.
Come si è infiltrato il malware TsarBot nel mio dispositivo Android?
TsarBot è stato diffuso attraverso siti di truffa che utilizzano esche e travestimenti a tema finanziario. Non sono improbabili metodi di distribuzione diversi.
In generale, il malware si diffonde ampiamente tramite download drive-by, truffe online, posta indesiderata, malvertising, fonti di download non affidabili (ad esempio, siti di file-hosting gratuiti e freeware, app store di terze parti, reti di condivisione Peer-to-Peer e così via), contenuti piratati, strumenti illegali di attivazione del software ("crack") e falsi aggiornamenti. Alcuni programmi dannosi possono anche auto-proliferare attraverso reti locali e dispositivi di archiviazione rimovibili.
Combo Cleaner mi proteggerà dal malware?
Combo Cleaner è progettato per scansionare i dispositivi ed eliminare tutti i tipi di minacce. È in grado di rilevare e rimuovere la maggior parte delle infezioni da malware conosciute. Si noti che l'esecuzione di una scansione completa del sistema è essenziale, poiché i software maligni più sofisticati si nascondono in genere nelle profondità dei sistemi.
Eccezionale!
▼ Mostra Discussione