Il trojan è un malware nascosto all’interno di programmi e software apparentemente legittimi.

Tra le tante varianti comparse nel corso degli anni, a partire dallo scoppio della pandemia, hanno fatto la loro comparsa due nuovi esemplari.

Stiamo parlando di Fackecalls e Agent Tesla, rispettivamente trojan bancario e Remote Access trojan che hanno destato non poca preccupazione.

In questo articolo, ne approfondiamo in dettaglio caratteristiche e modus operandi.

fackecalls agent tesla trojan
  1. Cos’è un Trojan
  2. Fakecalls e Agent Tesla: di cosa si tratta
  3. Come capire se il proprio device è stato infettato da un trojan
  4. Considerazioni finali su Fackecalls, Agent Tesla e i Trojan

Cos’è un Trojan

Questa tipologia di malware è stata ribattezzata Trojan (o Trojan Horse) per analogia col famoso episodio del “Cavallo di Troia” descritto nei poemi omerici.

Per poter agire, infatti, necessita che l’utente stesso conceda l’accesso al dispositivo da infettare.

Riesce nell’intento, camuffandosi da applicazione o software legittimo.

Non è un segreto che sul web, assieme ai programmi ufficiali, circolino molto spesso copie fasulle difficilmente distinguibili dalle originali.

Di norma, l’utente medio, non si preoccupa di verificare la correttezza del nome o dell’estensione del programma, né tantomeno l’attendibilità del sito da cui effettuare il download.

In linea generale, si tratta di un malware alquanto difficile da riconoscere. In alcuni casi, potrebbe addirittura rivelarsi attraverso altri malware come i ransomware, oppure restare silente e sfruttare in modo improprio, e all’insaputa dell’utente, risorse e funzionalità del dispositivo.

Fackecalls e Agent Tesla: I trojan più diffusi

Nonostante le modalità di diffusione siano sostanzialmente comuni, sul web sono presenti molteplici tipologie di Trojan Horse, ognuna dotata di un proprio codice e di uno specifico modus operandi.

Analizziamo, dunque, in dettaglio l’operato di due tra i trojan più diffusi degli ultimi anni: Fackecalls e Agent Tesla.

Fakecalls

Il trojan Fakecalls è stato rilevato per la prima volta in Corea. Diffusosi a macchia d’olio in tutto il globo, ha sfruttato i dispositivi Android come vettore principale d’infezione.

In particolare, Fackecalls sfruttava app clonate di alcuni provider di online banking.

Al momento dell’installazione, venivano richiesi permessi a molte funzionalità del dispositivo, tra cui: GPS, fotocamera e microfono.
La procedura prevedeva, inoltre, una chiamata vocale da parte del servizio clienti delle banche. Ovviamente si trattava di voci preregistrate e create ad hoc dai truffatori.

E’ proprio da qui, infatti, che deriva l’appellativo di “fakecalls”, che in italiano si potrebbe tradurre con “finta chiamata“.

A quel punto, la vittima forniva al presunto operatore

  • informazioni di identificazione personale, come numero della carta d’identità o del passaporto
  • nonché estremi delle carte e del conto bancario

Il tutto registrato tramite il telefono infetto della vittima.

Ecco spiegata la richiesta di autorizzazione all’utilizzo del microfono.

Ma com’era possibile che gli utenti dessero così tanto credito alla cosa?

Purtoppo, le chiamate erano altamente verosimili.

Riportavano il numero reale delle banche, ma venivano appositamente deviate verso il contatto remoto del truffatore. Spesso emulavano anche i servizi di segreteria telefonica degli istituti bancari.

Una volta ottenute le informazioni necessarie, agli hacker non restava che accedere ai conti, prelevare ingenti somme di denaro o effettuare bonifici fittizi.

L’unico, seppur non trascurabile, difetto è che l’unica lingua utilizzata dai cybercriminali era il coreano. Questo spiega come la truffa abbia preso piede principalmente nel Paese del Sol Levante.

Agent Tesla

Un altro importante e diffuso trojan è l’Agent Tesla, noto per essere uno dei più efficienti spyware tramite keylogger.

Nello specifico, l’Agent Tesla è un trojan ad accesso remoto, definito in gergo tecnico RAT  (Remote Access Trojan), messo a disposizione di tutti i malfattori al costo di una licenza mensile o annuale.

Si tratta di un trojan in grado di:

  • registrare le sequenze di digitazione dei tasti per esfiltrare dati sensibili e credenziali
  • sottrarre immagini e file dagli archivi
  • memorizzare ricerche, cookies e password presenti nei browser

L’Agent Tesla generalmente si diffonde tramite phishing, con mail che propongono sconti e ordini in arrivo o, come nell’ultimo periodo, dati e statistiche relativi alla diffusione del Covid-19.

Lo schema è sempre lo stesso: si apre una mail o un messaggio contenente un link infetto (solo in apparenza identico all’originale) e vengono richiesti dei dati da inserire per riscattare l’offerta o tracciare il regalo in arrivo.

Spesso è presente un allegato  in formato .ppt o .docx, oppure un file eseguibile .exe  che all’ apertura avviano il download del trojan.

Come capire se il proprio device è stato infettato da un trojan

Nonostante il malware sia spesso nascosto, per capire se il PC è infetto ci sono dei segnali che possono aiutare l’utente a individuare la “falla” e trovare un modo per risolverla.

Generalmente, i trojan e i malware in sé attivano svariati processi che

  • rallentano le prestazioni del dispositivo
  • e riempiono velocemente la memoria virtuale

Può capitare che questo sovraccarico di processi porti alla chiusura improvvisa di programmi durante il loro utilizzo.

Si raccomanda quindi di prestare particolare attenzione agli

  • scaricamenti insoliti della batteria
  • comparsa di finestre pop-up improvvise
  • arresto anomalo dei servizi in esecuzione o dell’intero dispositivo

Come fare, quindi, per eliminare definitivamente un trojan?

Innanzitutto, si raccomanda di avere sempre il dispositivo

  • aggiornato all’ultima versione
  • e fornito di un antivirus performante, che effettui scansioni giornaliere e abbia permessi di amministratore attivi

È, inoltre, possibile disinstallare il programma infetto direttamente dalle impostazioni.

  • Accedere al dispositivo in modalità provvisoria e rimuovere manualmente il programma, nel caso non fosse stato possibile disinstallarlo dal pannello di controllo.
  • In casi estremi, potrebbe essere necessario riformattare il proprio pc, considerando l’opzione di effettuare un backup di file necessari all’utente

Considerazioni finali su Fackecalls, Agent Tesla e i Trojan

Come si è avuto modo di constatare, i Trojan sono programmi maliziosi piuttosto infidi. Questo perché penetrano nei dispositivi sotto mentite spoglie, magari camuffandosi in app o programmi ufficiali.

Fackecalls e Agent Tesla rappresentano, infatti, soltanto due esempi tra le svariate sfaccettature che un trojan può assumere.

Per arginarne il pericolo, bisogna sempre tenere a mente di

  • non avviare mai downolad da siti diversi da quelli del rivenditore ufficiale
  • scannerizzare ogni volta il file scaricato mediante un apposito antivirus
  • non concedere più autorizzazioni del dovuto

Se, come nel caso di Fakecalls, un’app di online banking richiede accesso a telecamera e microfono (di cui notoriamente non dovrebbe necessitare) potrebbe potenzialmente trattarsi un malware.