In un nuovo rapporto di Bitdefender, gli analisti avrebbero identificato sul Google Play Store diverse applicazioni spacciate come file manager per Android che in realtà fungerebbero da dropper per il rilascio di una nuova variante del trojan bancario SharkBot, un malware capace di rubare dati finanziari e consentire agli attaccanti di visualizzare sui dispositivi colpiti moduli di accesso falsi con tecniche di tipo overlay su richieste di accesso legittime delle app bancarie.
Le credenziali inserite su questi moduli falsi verrebbero in realtà carpite e inviate agli attori delle minacce.
Ecco i nomi delle app incriminate:
- X-File Manager, con più di 10.000 download;
- FileVojager, con più di 5.000 download;
- LiteCleaner M, con più di 1.000 download;
- Phone AID, Cleaner, Booster
Indice degli argomenti
App dropper sempre più usate per eludere la sicurezza
Gli attori delle minacce migliorano continuamente gli strumenti di attacco per eludere i controlli di Google e aumentare l’efficacia degli attacchi e l’impiego in aumento delle app dropper è per l’appunto uno di questi strumenti che consente il superamento delle restrizioni.
Per eludere il rilevamento sullo store Google Play, questi tipi di app non contengono infatti il payload dannoso al loro interno ma lo recuperano in seconda battuta da una risorsa remota dopo l’installazione.
Inoltre, poiché le app trojan in questione sono dei file manager, sarebbe anche meno probabile che sollevino sospetti negli utenti quando richiedono di concedere autorizzazioni di sicurezza pericolose necessarie in realtà solo per caricare il malware SharkBot.
Tra i principali target anche l’Italia
Secondo i dati raccolti, l’attuale campagna di distribuzione di SharkBot sarebbe mirata a determinati target. Il bacino di utenti interessati si troverebbe nel Regno Unito, seguita da Italia, Iran, Germania e in altri con un’incidenza minore.
Le false app individuate e rimosse dal Play Store
La prima app dannosa sarebbe “X-File Manager” distribuita da Victor Soft Ice LLC (com.victorsoftice.llc). Secondo l’analisi, l’app eseguirebbe controlli anti emulazione per eludere il rilevamento caricando SharkBot solo su SIM britanniche o italiane, controllando inoltre sui dispositivi degli utenti infettati la presenza di determinate applicazioni di home banking.
In particolare, l’app dannosa richiederebbe all’utente di concedere diverse autorizzazioni quali lettura/scrittura di archivi esterni, installazione di nuovi pacchetti e accesso ai dettagli account, spacciandole per richieste legittime ma che in realtà servono per continuare il processo di infezione.
Dando seguito a tali richieste in quanto l’applicazione installerebbe un campione di SharkBot con etichetta “_File Manager”, l’utente verrebbe indotto a credere che si tratti di un aggiornamento contestuale all’installazione dell’app file manager.
“L’applicazione esegue una richiesta all’URI, scarica il pacchetto e scrive il payload dannoso sul dispositivo. Il dropper simula un aggiornamento dell’applicazione corrente per completare l’installazione e chiede all’utente di installare l’APK rilasciato”, spiegano i ricercatori Bitdefender.
Le altre app dannose individuate e che installerebbero ShakBot sono:
- FileVoyager, distribuita da Julia Soft Io LLC. Anche FileVoyager presenterebbe lo stesso schema operativo di “X-File Manager“ rivolgendosi ad utenze in Italia e nel Regno Unito;
- LiteCleaner M e Phone AID, Cleaner, Booster 2.6, entrambe attualmente disponibili solo tramite l’app store di terze parti APKSOS.
I servizi finanziari monitorati dalla campagna malware
Ecco un elenco (in costante aggiornamento secondo Bitdefender) delle app dei servizi finanziari monitorati dal malware:
I consigli per correre subito ai ripari
Le applicazioni dropper continuano a insidiarsi nello store ufficiale nonostante le modifiche apportate alla politica e ai meccanismi di sicurezza di Google Play Protect, risultando un modo efficace per raggiungere un vasto bacino di vittime per la maggior parte degli attori malevoli.
In realtà, SharkBot non è una novità. Il malware, in continua evoluzione, è già apparso sul Play Store sotto varie altre forme come riportato dai ricercatori ThreatFabric in un rapporto dello scorso mese.
Sebbene gli analisti abbiano segnalato la scoperta in modo responsabile a Google prima della loro divulgazione, lasciando il tempo necessario per la relativa rimozione dal Play Store, alcune di queste app risultano ancora disponibili su app store di terze parti e molti tra gli utenti che le hanno scaricate in precedenza potrebbero averle ancora installate sui loro smartphone con tutte le conseguenze del caso.
Sarebbe pertanto auspicabile che queste app venissero rimosse il prima possibile da questi utenti, avendo anche cura di modificare le credenziali di accesso dei propri conti bancari online.
Sarebbe auspicabile altresì che anche le organizzazioni finanziarie intraprendessero qualsiasi azione proattiva a tutela dei loro clienti e avviassero prontamente procedure di segnalazione qualora rilevassero un coinvolgimento anche indiretto delle proprie applicazioni in attività fraudolente.
