Tutto su Rotexy Trojan

Mobile Malware Rotexy, un ibrido tra un blocco del ransomware e un trojan bancario, sta espandendo i suoi rami. Ad agosto e settembre, alcuni degli specialisti hanno registrato oltre 40.000 prove per incorporare questa app dannosa sugli smartphone Android. Sebbene alcune delle informazioni tecniche e altri dettagli siano noti al mondo, parleremo dell'infezione in dettaglio insieme alla soluzione per sbarazzarcene gratuitamente.

Quindi iniziamo!

Come funziona Rotexy Banking Trojan?

Rotexy utilizza gli SMS, incluso il collegamento per il download di un'app con un testo accattivante che esorta le persone a fare clic sui collegamenti e scaricare l'app. Se l'SMS inviato proviene da un numero sconosciuto, viene ignorato, tuttavia, quando si riceve tale SMS dal numero di un amico, è allora che le persone fanno clic sul collegamento.

Una volta che il dispositivo viene infettato, il Trojan inizia a preparare la struttura per il passaggio successivo. Rotexy identifica innanzitutto quale dispositivo è stato infettato, in modo che possa ostacolare il lavoro dei ricercatori antivirus. Se il malware rileva che sta funzionando in un emulatore, esegue ripetutamente il processo di inizializzazione dell'app.

Prima che il trojan inizi a funzionare, controlla se il dispositivo soddisfa i requisiti di base. Una volta fatto, richiede i diritti di amministratore. Probabilmente l'utente non darà il permesso, tuttavia, i pop-up verranno visualizzati ripetutamente e l'utente non sarà in grado di utilizzare il dispositivo. Una volta concessa l'autorizzazione, Rotexy avviserà che l'app non è stata caricata e nasconde l'icona.

Il passaggio successivo, il malware contatta i suoi proprietari e fornisce loro informazioni sullo smartphone. In cambio, riceve istruzioni insieme a una raccolta di testi e modelli. Rotexy raggiunge il server C&C, tuttavia, gli hacker hanno escogitato altri modi per inviare istruzioni come tramite SMS o Google Cloud Messaging.

Rotexy il ladro di SMS

Ogni volta che viene ricevuto un messaggio su uno smartphone infetto. Il malware attiva la modalità silenziosa sul dispositivo in modo che la vittima non possa ascoltare il segnale acustico di notifica SMS in arrivo. Una volta ricevuto un messaggio, intercetta l'SMS e lo confronta con i modelli ricevuti dal server C&C. Se viene trovato qualcosa di interessante come le ultime cifre di un numero di carta da una notifica bancaria, lo conserva e lo invia al server. Inoltre, il malware può intercettare e rispondere a tali messaggi: i modelli inviati dai proprietari di malware hanno testi di conferma per quando sono necessari.

Nel caso in cui non sia stato ricevuto alcun modello o ordine, Rotexy salva tutte le comunicazioni sul dispositivo della vittima e le invia ai capi. Inoltre, se i criminali informatici lo desiderano, il malware può inoltrare un collegamento da scaricare a tutti i contatti della rubrica.

Leggi anche: Informazioni privilegiate sul cavallo di Troia

Rotexy – Trojan bancario

In primo luogo, il malware ruba i dati delle carte bancarie per fornire il massimo profitto ai suoi proprietari. Per questo, sovrappone allo schermo una pagina web di phishing con il testo ricevuto con gli ordini di sms interposti. L'interfaccia e l'aspetto della pagina potrebbero essere ogni volta diversi, ma l'obiettivo principale è informare il proprietario dello smartphone che lo attende un trasferimento di denaro e che deve fornire i dettagli della carta per ottenerlo.

Inoltre, per farlo sembrare autentico, gli sviluppatori di malware hanno un controllo per verificare il numero della carta. Convalida che l'utente sta inserendo il numero di carta corretto. Dopodiché, Rotexy preleva le ultime quattro cifre del numero della carta dall'SMS bancario che ha memorizzato e lo confronta con quelli che l'utente ha inserito nella pagina di phishing.

Nel caso in cui non corrispondesse, il malware mostra un errore e chiede all'utente di inserire i dettagli della carta corretti.

Rotexy: ransomware

Ci può essere un altro modo in cui Rotexy si comporta. Bene, dipende dalle istruzioni che riceve dal server C&C. Invece di mostrare la pagina di phishing, potrebbe bloccare lo schermo del tuo smartphone con una finestra minacciosa che chiede all'utente di pagare una multa per "visualizzazione regolare di video proibiti".

Mostra anche la "prova" fotografica che è una clip pornografica. I criminali informatici agiscono come un'organizzazione ufficiale, Rotexy utilizza principalmente "FSB Internet Control".

Come sbarazzarsi di Rotexy Trojan?

Dopo aver letto tutto quanto sopra che Rotexy può fare, devi pensare a come potremmo liberarcene. Si spera che tu possa! Puoi sbloccare il tuo smartphone infetto. Come accennato, Rotexy riceve gli ordini tramite SMS. Quindi, l'SMS non deve provenire da un numero specifico, qualsiasi numero di telefono o dispositivo potrebbe inviarlo.

Quindi, se il tuo telefono è bloccato, hai solo bisogno del telefono di qualcuno e invia un'istruzione. Devi inviare un SMS al tuo numero con il testo “393838”.

Questo SMS significa che è un ordine per il malware di modificare l'indirizzo del server C&C in vuoto e inoltre, smetterà di obbedire ai criminali informatici.

Quindi, invia di nuovo un testo contenente "3458" al tuo numero: questo impedirà a Trojan di accedere al tuo dispositivo utilizzando i diritti di amministratore e, pertanto, il trojan non avrà più una sospensione sul tuo dispositivo.

Il terzo SMS sarebbe un testo "stop_blocker": questa istruzione spingerà Rotexy a rimuovere il sito o il banner bloccando lo schermo.

Dopo aver seguito queste istruzioni, se Trojan ricomincia a funzionare e richiede i diritti di amministratore del tuo dispositivo, riavvia lo smartphone in modalità provvisoria. Una volta riavviato il dispositivo, vai su Applicazioni e notifiche o Gestione app e rimuovi il malware dal tuo dispositivo.

Nota: questo metodo funziona sulla versione corrente di Rotexy, tuttavia potrebbe non funzionare con le versioni future.

Da leggere: TeleRAT: un nuovo cavallo di Troia che ruba i tuoi dati

Istruzioni per impedire a Rotexy e altri Trojan di infettare il tuo dispositivo:

Il processo sopra menzionato è piuttosto macchinoso e potrebbe essere anche rischioso. Bene, se rimani vigile e ti occupi di alcune cose, potresti non doverlo affrontare del tutto.

Non cliccare mai su link sospetti, nemmeno se prometti di dare 1 milione di dollari.

Scarica app solo da Google Play.

Installa sempre un antivirus mobile affidabile sul tuo telefono per mantenerlo sempre protetto.

Quindi, indipendentemente dalla versione di Android su cui stai lavorando o dal software che hai installato, un clic su un link sospetto e il tuo dispositivo, i tuoi dati bancari, tutto verrà rubato. Attenti e state sempre attenti!