EagleSpy, il RAT Android arriva in Italia

Una recente campagna di phishing ha iniziato a diffondere un malware Android noto come EagleSpy anche in Italia. Questo malware è un potente Trojan di Accesso Remoto (RAT) progettato per rubare dati sensibili attraverso app bancarie false. Ecco un’analisi dettagliata delle sue caratteristiche e delle tecniche utilizzate dai cybercriminali.

Recentemente una banca italiana è stata oggetto di una sofisticata campagna di phishing che ha portato alla diffusione del malware EagleSpy sui dispositivi Android.”, si legge nel rapporto d3lab, “Questa minaccia ha lo scopo di rubare informazioni sensibili degli utenti attraverso una falsa richiesta di aggiornamento dell’app ufficiale della banca.”

Caratteristiche di EagleSpy

EagleSpy è in grado di aggirare le misure di sicurezza delle app bancarie, permettendo agli attaccanti di accedere alle informazioni finanziarie degli utenti. EagleSpy può accedere e esfiltrare cookie e dettagli di login da tutti i siti registrati sul dispositivo infetto, compromettendo gli account online degli utenti. Una delle caratteristiche più allarmanti è la capacità di rubare i codici dell’autenticazione 2FA di Google Authenticator, una misura di sicurezza ampiamente utilizzata.

Tecniche di offuscamento

Gli attori della minaccia utilizzano tecniche di offuscamento sofisticate per nascondere il codice del malware e renderlo più difficile da rilevare e analizzare. Queste tecniche includono la crittografia del codice e l’uso di strumenti per offuscare le stringhe e le chiamate di funzione.

Somiglianze tecniche

L’analisi d3lab sul campione individuato in Italia ha rivelato somiglianze tecniche tra EagleSpy e altri malware noti come SpyNote e CraxsRAT. Questi malware condividono molte delle stesse funzionalità e tecniche di offuscamento, suggerendo che potrebbero essere stati sviluppati dallo stesso gruppo di cybercriminali.

Un video dimostrativo di EagleSpy, disponibile su YouTube, mostra in dettaglio il server di Command and Control (C2) e il processo di building dell’APK.”, evidenziano i ricercatori d3lab, “Dal video emerge chiaramente che lo stesso threat actor è coinvolto nella realizzazione del malware CraxsRAT, rafforzando il legame tra questi due strumenti.”

Fonte d3lab

Implicazioni per la sicurezza

La diffusione di EagleSpy rappresenta una minaccia significativa per gli utenti Android. La capacità di bypassare le misure di sicurezza delle app bancarie e di rubare i codici 2FA potrebbe portare a furti finanziari e frodi di identità. È essenziale che gli utenti siano consapevoli e adottino misure di sicurezza proattive, come l’uso di software antivirus e l’abilitazione di misure di sicurezza aggiuntive sui loro dispositivi.

L’ultima campagna di phishing rilevata che diffonde EagleSpy è un esempio di come i cybercriminali stiano evolvendo le loro tecniche per rubare dati sensibili. Rimanere informati su queste minacce e adottare misure di sicurezza adeguate è fondamentale per proteggere i propri dati personali e finanziari.

Su Salvatore Lombardo 296 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.