notizie
sicurezza informatica

L’attacco di Bizarro: il virus bancario che arriva dal Brasile

Scritto da Alessandro il 20/05/2021
L’attacco di Bizarro: il virus malware bancario del Brasile

A pochi giorni dall’apparizione di Teabot, trojan bancario per dispositivi Android scoperto dal team Threat Intelligence and Incident Response (TIR), è allerta per Bizarro, un nuovo malware bancario che arriva dal Brasile e che ha colpito 70 banche di diversi paesi sudamericani ed europei, tra cui l’Italia.

Bizarro, il virus bancario colpisce anche l’Italia

Il nuovo virus bancario Bizarro, che ha avuto origine in Brasile, da qui si è dapprima diffuso in Argentina e Cile per raggiungere in breve tempo Germania, Spagna, Portogallo, Francia e anche Italia.

Come avviene la diffusione

Gli utenti mobile vengono convinti a scaricare un’app per smartphone che contiene il virus. Una volta che l’app è stata installata, per mezzo di finte finestre pop-up strutturate per apparire uguali alle notifiche inviate dai veri sistemi bancari online, il virus Bizarro induce gli utenti a inserire codici di autenticazione a due fattori, che vengono così inviati agli aggressori. La diffusione sui sistemi desktop avviene invece attraverso allegati e link contenuti in email di spam: con un click sull’allegato, sul link o sul file infetto il malware si avvia e scarica automaticamente una cartella .zip da un sito compromesso per implementare le sue funzionalità dannose.

Come avviene il furto dei dati

In entrambi i casi, quando il Bizarro si avvia, termina tutti i processi del browser, chiudendo ogni sessione esistente con i siti web di home banking, cancella le password salvate e disabilita l’auto-completamento automatico. Una volta che l’utente riavvia il browser, gli è richiesto di reinserire le credenziali del conto bancario, che in questo modo vengono catturate dal malware. Ma non solo: Bizarro è capace di eseguire 100 comandi da un server remoto che gli consente di raccogliere moltissime altre informazioni sull’utente.

Perché è tanto pericoloso

Bizarro, come il sopracitato Teabot, è solo l’ultimo tra i tanti malware bancari, tra le minacce informatiche più recenti e pericolose. Il principale problema di sicurezza creato dal virus Bizarro sta nella sua difficoltà di individuazione. Secondo quanto svelato dai ricercatori infatti, il virus appartiene a una nuova famiglia di trojan che adotta diversi metodi per impedirne l’analisi e il rilevamento e che si serve delle backdoor e di server compromessi ospitati su Amazon, WordPress e Azure per superare gli antivirus.

Perché ci sono così tanti trojan bancari

I criminali informatici sviluppano senza sosta nuove tecniche per diffondere malware che ruba le credenziali per i sistemi di pagamento elettronico e di online banking: questo fenomeno si sta ampliando sempre più a livello globale. Secondo gli esperti, stiamo assistendo ad una rivoluzione nella distribuzione di malware bancario. È questo è vero in particolar modo se si pensa al livello geografico: gli hacker attaccano oggi attivamente gli utenti non solo nella loro regione di origine ma anche in tutto il mondo. Implementando nuove tecniche, le famiglie di malware, specialmente quelle brasiliane, vengono distribuite anche in altri continenti. Come Bizarro, che prende di mira oltre agli utenti latinoamericani, anche quelli europei.

Cos’è esattamente un trojan bancario

Un trojan è un tipo di virus informatico che tenta – e spesso ci riesce - di installarsi nei sistemi informatici senza essere individuato dai vari sistemi di sicurezza.

Il virus trojan deve il suo nome al cavallo di Troia di Ulisse

Deve il suo nome al cavallo di Troia, il famoso stratagemma ideato da Ulisse per introdursi nella città di Troia, fino allora considerata inespugnabile, attraverso l’enorme scultura di legno lasciata dai Greci davanti alle porte della città di Troia, in falso segno di resa. Quando i troiani videro il cavallo, credettero alla resa dei Greci e lo trasportarono dentro alle mura della città. Durante la notte, in seguito ai festeggiamenti per la presunta vittoria, quando i soldati erano tutti ubriachi e addormentati, Ulisse e i suoi, che si erano nascosti all’interno del cavallo, ne uscirono, aprendo le porte della città e consentendo così all’esercito greco di penetrare e di garantirsi la vittoria.

I trojan fanno leva sullo stesso stratagemma: nascondono la minaccia, spesso inoculandola nel computer attraverso l’installazione di software gratuito oppure mimetizzandosi nelle email (che vengono dette di phishing) come un allegato realizzato per catturare l’attenzione dell’utente ignaro e fargli compiere il download del virus. Una volta installato, il trojan è capace di creare una backdoor nel dispositivo della vittima, connettersi a server definiti dall’hacker e scaricare il virus che verrà utilizzato per la sottrazione di denaro dal conto bancario online. Il trojan bancario in effetti è solo l’inizio dell’attacco. La sua funzione, come il cavallo di Troia, è quella di aprire le porte del computer al malware vero e proprio per permettergli di installarsi nel sistema.

Fasi tipiche di un attacco bancario attraverso trojan

Fasi tipiche di un attacco Trojan bancario
  • l’utente scarica l’app infetta da una fonte non sicura o clicca sull’allegato contenente il trojan
  • l’utente apre l’app di e-banking
  • il trojan rileva l’app di e-banking utilizzata dall’utente e ne sostituisce l’interfaccia con una quasi identica
  • l’utente inserisce le credenziali nell’interfaccia fraudolenta, che le invia all’hacker
  • l’hacker utilizza le credenziali per accedere al conto della vittima e richiedere una transazione
  • l’app di ebanking richiede il secondo passaggio di verifica inviando un SMS o un’email all’utente con una password momentanea.
  • il trojan intercetta il codice di sicurezza nel SMS o nell’email e lo invia all’hacker. La vittima non riceve il messaggio e non si rende conto di nulla
  • l’hacker inserisce il codice di sicurezza rubando denaro alla vittima

Alcuni consigli di sicurezza per conti bancari online

Risulta allora chiaro come la verifica in due passaggi non sia sufficiente a prevenire questo tipo di attacchi. Come appena mostrato la maggior parte dei trojan bancari di ultima generazione è in grado infatti di aggirare l’ostacolo della verifica in due passaggi, perché entrambi i fattori di autenticazione sono reperibili dall’hacker con lo stesso virus e sullo stesso terminale della vittima.

Cosa può fare l’utente per difendersi dai virus bancari

Il fattore umano è l’elemento debole di ogni sistema di sicurezza. Di conseguenza è l’utente colui che deve prestare particolare attenzione. In particolare:

  • non scaricare app e programmi non sicuri. Scarica le app per smartphone e tablet solo dagli store ufficiali (App Store per dispositivi iOS, Play Store per Android, Microsoft Store per Windows Phone). Anche quando utilizzi Store ufficiali controlla sempre le recensioni degli utenti prima di scaricare un’app,
  • non scaricare file da siti non attendibili
  • fai attenzione a link e allegati di email e SMS. Non aprire gli allegati alle mail inviate da mittenti che non conosci personalmente. Tra i mittenti falsi preferiti da Bizzarro ci sono WordPress, Amazon e altri servizi usati dall’utente, in modo che questo possa ritenere attendibile il messaggio ricevuto.
  • quando ti connetti al browser digita personalmente l’indirizzo del sito web della tua banca.
  • installa un antivirus per desktop e smartphone
  • se disponibili utilizza fattori di autenticazione biometrici: applica il blocco app con password o impronta digitale alla tua app di ebanking.
  • se la tua banca lo permette utilizza un token di sicurezza.
  • crea una password efficace per il tuo conto di ebanking e modificala una volta al mese.
  • imposta l’aggiornamento automatico del sistema operativo del tuo dispositivo per usufruire delle ultime patch di sicurezza.
  • non inserire dati personali e bancari se non sei certo che le comunicazioni provengano da account ufficiali. La tua banca ha già i tuoi dati personali e le credenziali di accesso al conto. Se ricevi un messaggio in cui ti viene richiesto di verificarli, quasi sicuramente si tratta di un’email fraudolenta.
  • fai attenzione ai siti web che consulti: gli indirizzi che iniziano con http:// sono meno sicuri di quelli che iniziano con https://

Cosa possono fare le banche per difendersi dai virus bancari

Per difendersi da queste crescenti minacce, si raccomanda alle aziende bancarie di aggiornare costantemente i propri team che si occupano di sicurezza facendoli partecipare a corsi di aggiornamento adeguati e implementando soluzioni anti-frode in grado di rilevare anche gli attacchi più sofisticati.

Ma l’invito è anche e sopratutto ad educare e informare i propri clienti sui trucchi che potrebbero venire utilizzati dagli aggressori per il furto di account e denaro, attraverso l’ invio regolare di indicazioni su come identificare le frodi e di consigli su come agire caso di attacco.

Immagine cavallo di troia: Luigi Ricca

Alessandro Lussi

Alessandro Lussi

Formatore IT, SEO expert e consulente informatico a Torino specializzato nell'UX design. Scrivo articoli per passione.

Scopri di più