Trojan bancari Android mascherati da ChatGPT

Il team di ricerca di ESET, una delle principali società di rilevamento proattivo delle minacce, ha scoperto che i criminali informatici stanno approfittando dell’emergere di ChatGPT per promuovere app false che utilizzano il nome di un popolare chatbot per infettare trojan bancari. ESET ha analizzato estensioni dannose che utilizzano il nome ChatGTP per rubare i cookie ed evidenzia alcune forme di inganno che utilizzano il nome di questo strumento sviluppato da OpenAI.

“È chiaro che i criminali informatici stanno sfruttando la popolarità di ChatGPT per distribuire malware tramite siti Web e applicazioni falsi. È probabile che continuino a emergere siti e campagne falsi che distribuiscono malware e altre bufale, beneficiando dell’avvento di strumenti basati sull’intelligenza artificiale. È importante che gli utenti siano a conoscenza di tali campagne e prestino attenzione quando installano un’estensione o un’applicazione presentata come interessante”, afferma Camilo Gutierrez Amaya, responsabile di ESET Latin America Research Lab.

I trojan rilevati da ESET sono:

Chameleon: attacca i sistemi operativi Android. È già stato identificato in altre campagne in cui è stato distribuito utilizzando i nomi di Google, Bitcoin, app di criptovaluta, banche o persino agenzie governative. Monitorando i sistemi ESET, si è scoperto che utilizza anche il nome e l’immagine di ChatGPT: sul dispositivo della vittima viene installata un’applicazione che utilizza come icona il logo dell’applicazione, ma quando si fa clic per aprirla, l’icona scompare e non accade nulla. Non solo ha la capacità di rubare credenziali, ma è anche in grado di rubare password e cookie, accedere a messaggi SMS e raccogliere, ad esempio, un codice di verifica in due passaggi (2FA), tra molte altre cose.

Trojan Cerberus: ESET ha analizzato le campagne che distribuiscono questo malware per dispositivi Android utilizzando il nome ChatGPT. Il ricercatore ESET Lukas Stefanko ha spiegato, nel 2019, le caratteristiche e la storia del suo aspetto. Entro un anno dalla sua comparsa, il codice di questo malware è trapelato sui forum di hacking e il malware si è fatto strada nelle mani di altri malintenzionati per essere utilizzato, probabilmente creando varianti sviluppate da altri.

In questo caso, la telemetria ESET ha rilevato un’applicazione dannosa che distribuiva una variante di questo malware che utilizza il nome chatbot come parte della sua ingegneria sociale.

Durante l’analisi dell’applicazione, la prima cosa che ha attirato l’attenzione del team ESET sono state le autorizzazioni eccessive richieste, consentendo ai criminali informatici di ottenere un controllo quasi completo sul dispositivo. Questo Trojan è in grado di intercettare messaggi SMS, leggere i contatti, accedere alla fotocamera, all’elenco dei contatti, alla cronologia delle chiamate, modificare il volume, ottenere un elenco delle applicazioni installate e molto altro. Nel caso degli SMS, questa capacità consente di ottenere un codice di verifica in due passaggi per accedere a un account online.

“Con tutte queste autorizzazioni concesse, un’applicazione dannosa è in grado di eseguire varie azioni sul computer infetto, pertanto, non solo è importante evitare di scaricare applicazioni da repository non ufficiali, ma anche valutare le autorizzazioni richieste dall’applicazione e se ha senso concederle in base alla sua funzionalità”, afferma Camilo Gutiérrez Amaya di ESET Latin America.

Come raccomandazione importante, ESET garantisce che è essenziale disporre di un software anti-malware affidabile installato sui dispositivi e mantenere aggiornate le apparecchiature e il software utilizzati. Se si ritiene che su un dispositivo sia stato installato del malware, si suggerisce di disconnetterlo da Internet e chiedere aiuto a un esperto di sicurezza informatica.

Fontana. ESET