A distanza di sei mesi dalla sua prima identificazione, il trojan bancario SharkBot torna a colpire gli utenti di dispositivi Android (italiani compresi) celandosi all’interno di 7 nuove app pubblicate sul Play Store che promettono funzioni di antivirus gratuiti.
Come riportato nel report condiviso dai ricercatori di Check Point Research (CPR), il trojan bancario SharkBot è comparso nel novembre 2021, colpendo dispositivi di ignari utenti convinti d’aver installato delle app innocue per la protezione del dispositivo Android e la pulizia dei file temporanei, app in seguito rimosse da Google dal proprio store.
Nella versione 2022 SharkBot utilizza nuove funzioni di geofencing e di attivazione in sordina, che permettono al trojan di agire su diversi livelli di controllo del dispositivo.
Da segnalare, poi, che l’attacco portato avanti dalla nuova variante di SharkBot è mirato all’Italia e al Regno Unito, mentre il malware è programmato per ignorare gli utenti provenienti dalla Cina, India, Romania, Russia, Ucraina e Bielorussia.
Indice degli argomenti
Le app malevole di diffusione di SharkBot
SharkBot si è celato dietro a falsi nomi di app quali:
- Antivirus Super Cleaner
- Codice Fiscale
- Center Security Antivirus
- Powerful Cleaner Antivirus
- Atom Clean-Booster Antivirus
- Alpha Antivirus Cleaner
- AP currency converter
Le applicazioni dietro cui si celava SharkBot sono state rilasciate su Google Play il 25 febbraio e rimosse a seguito di segnalazioni il 9 Marzo, ma nuove app hanno fatto la loro comparsa il 15 marzo, il 22 marzo e il 27 marzo.
Queste app sono state installate più di 57.000 volte. Per poter garantire l’approvazione sul Play Store, la singola app non contiene direttamente SharkBot ma un comando per scaricare l’APK malevolo a seguito dell’installazione dell’app.
Come agisce SharkBot
SharkBot utilizza funzioni di Automatic Transfer Systems (ATS), Domain Generation Algorithm (DGA), overlay, keylogger, lettura e gestione degli SMS.
Una volta installato nel dispositivo, il trojan manomette le schermate delle app bancarie, mostrando false schermate di login dove l’utente può inserire le proprie credenziali, che finiscono direttamente fra le mani dei criminal hacker.
Inoltre, il malware può gestire e cancellare SMS, anche quelli di conferma delle operazioni bancarie.
In totale, le funzionalità del malware SharkBot sono 22 e vengono azionate sul dispositivo da un Command and Control Server (CnC).
smsSend | Permessi per invio SMS |
updateLib | Download di un file Jar |
updateSQL | Aggiornare il DB locale |
updateConfig | Aggiornare diverse configurazioni |
uninstallApp | Disinstallare app |
collectContacts | Mandare la lista contatti al server |
changeSmsAdmin | Cambiare il programma predefinito degli SMS |
getDoze | Disabilitare l’ottimizzazione della batteria per agire in background |
sendInject | Creare ed inviare una falsa schermata |
iWantA11 | Abilitare SharkBot nel servizio accessibilità |
updateTimeKnock | Aggiornare l’opzione “TIME_KNOCK_ADMIN” |
sendPush | Mostrare notifiche push |
APP_STOP_VIEW | Prevenire l’attivazione di un app dall’utente |
Swipe | Simulare l’azione di swipe |
autoReply | Inviare un messaggio autorisponditore alle notifiche |
removeApp | Cancellare delle app |
serviceSMS | Inviare SMS a un numero e con un mittente specifico |
getNotify | Gestire le notifiche |
localATS | Ricevere log d’utilizzo dal servizio accessibilità |
sendSMS | Inviare SMS |
downloadFile | Scaricare dei file |
stopAll | Comando funzione insieme a updateLib |
Una nuova funzione di SharkBot è quella di poter rispondere in modo automatico alle notifiche ricevute da Facebook Messenger e WhatsApp, inviando un link di phishing con l’invito a scaricare una delle false app antivirus, diffondendosi così fra i contatti della vittima.
I consigli per proteggersi
Nonostante la difficoltà dell’utente finale nel poter individuare un’app malevola se distribuita nello store ufficiale, le tecniche per proteggersi e prevenire gli attacchi su Android sono:
- installare solo app verificate, specialmente app note di antivirus;
- prima dell’installazione, verificare le recensioni e cercare opinioni sull’app stessa;
- eliminare le app non più utilizzate;
- tenere costantemente aggiornate le app in uso ed il sistema operativo;
- prestare attenzione ad ogni concessione di funzione alle varie app.
