Il panorama della sicurezza mobile è stato recentemente scosso dalla scoperta di un nuovo trojan bancario Android chiamato Datzbro, che utilizza tecniche di social engineering sofisticate per colpire principalmente persone anziane. Questo malware è stato individuato per la prima volta dopo che utenti australiani hanno segnalato gruppi Facebook che promuovevano “viaggi per anziani attivi”. Anche altri paesi come Singapore, Malesia, Canada, Sudafrica e Regno Unito sono stati presi di mira dalla stessa campagna.
Attacco mirato ai gruppi Facebook per anziani
I criminali si focalizzano su gruppi di Facebook frequentati da anziani alla ricerca di attività sociali e viaggi. Il contenuto di questi gruppi è spesso generato con l’intelligenza artificiale, rendendo gli annunci di eventi ancora più convincenti. Le vittime, dopo aver manifestato interesse a partecipare alle attività, vengono contattate su Messenger o WhatsApp e invitate a scaricare un’applicazione APK da link fraudolenti, come “download.seniorgroupapps.com”.
Installazione e diffusione del malware
Le pagine web false invitano gli utenti a installare una “community app” che promette di facilitare la registrazione agli eventi e la connessione con altri membri. In realtà, cliccando per scaricare l’app Android, viene installato direttamente il malware oppure un dropper che sfrutta servizi come Zombinder per aggirare le restrizioni di sicurezza delle versioni più recenti di Android.
Tra le app Android individuate che distribuiscono Datzbro figurano nomi come Senior Group, Lively Years, ActiveSenior, DanceWave e molte altre, alcune persino con nomi in cinese, segno dell’ampia strategia adottata dagli attaccanti. Una volta installato, Datzbro sfrutta i servizi di accessibilità di Android per controllare il dispositivo da remoto, effettuare frodi finanziarie, registrare l’audio, acquisire foto e dati sensibili, oltre a eseguire attacchi di overlay e keylogging.
Tecniche di controllo remoto e furto di dati
Una caratteristica distintiva di Datzbro è la modalità di controllo remoto schematica: il malware invia agli operatori la disposizione degli elementi sullo schermo della vittima, permettendo una replica fedele dell’interfaccia e il controllo completo del dispositivo. Il trojan può anche sovrapporre schermate nere semitrasparenti per nascondere le attività malevole e rubare PIN e password, soprattutto per servizi come Alipay e WeChat, monitorando i log degli eventi di accessibilità per trovare dati bancari o di wallet di criptovalute.
Il backend del malware è collegato a una piattaforma di comando e controllo desktop in lingua cinese, rendendo ancora più plausibile l’origine asiatica della minaccia. Datzbro rappresenta un’evoluzione delle minacce mobili, sfruttando il bisogno di socialità degli anziani e le nuove potenzialità dell’intelligenza artificiale per orchestrare campagne di frode finanziaria su larga scala.
