La nuova versione di SharkBot è un upgrade del malware per Android che ritorna su Google Play Store. Il banking trojan prende di mira gli utenti della piattaforma di Google che, sul market ufficiale, hanno inconsapevolmente scaricato le app malevole con decine di migliaia di installazioni.
In particolare, i ricercatori hanno scoperto che il malware Android, attivo nel rubare credenziali di login, era presente su due app. Ma quando le applicazioni sono state sottoposte alla revisione automatica di Google, non presentavano codice malevolo. Ecco perché bisogna stare in guardia, dal momento che la notizia “conferma l’evidenza che gli attaccanti sono costantemente al lavoro per aggiornare i propri vettori di attacco, estendendone anche l’impatto”, commenta Paolo Passeri, Principal Sales Engineer and Cyber Intelligence Specialist di Netskope.
Indice degli argomenti
L’evoluzione di SharkBot, il malware per Android
Le due applicazioni malevole si chiamano “Mister Phone Cleaner” e “Kylhavy Mobile Security”: insieme contano 60 mila installazioni.
Google le ha rimosse dal Play Store, ma coloro che le hanno installate corrono ancora il rischio di furto di credenziali e devono rimuoverle manualmente.
Gli analisti di Cleafy, azienda italiana di gestione delle frodi e prevenzione, hanno scoperto SharkBot nell’ottobre scorso. A marzo, NCC Group ha trovato le prime app che traghettavano il malware su Google Play. A maggio i ricercatori di ThreatFabric hanno osservato SharkBot 2 emergere con un domain generation algorithm (DGA), un protocollo di comunicazione aggiornato e nuovo codice.
Fox IT ha scoperto una nuova versione del malware (2.25) il 22 agosto: ha introdotto la capacità di trafugare cookie dai login degli account bancari.
Il malware potrebbe sferrare attacchi, rubare dati tramite keylogging, intercettare messaggi SMS, offrire agli attori criminali il controllo da remoto completo degli host device, abusando dei servizi di Accessibilità, cosa che ora non succede più.
Infatti “questa nuova versione di SharkBot prende di mira i clienti di banche al di fuori del perimetro iniziale di Italia e UK”, continua Paolo Passeri. “Un aspetto particolarmente interessante di questa nuova campagna consiste nel fatto che i criminali hanno preferito un’installazione del malware con una esplicita operazione da parte dell’utente, piuttosto che automatizzare il processo mediante l’abuso dei permessi di Accessibilità di Android, come nella versione precedente”.
I dettagli
“Se da un lato, l’operazione manuale di installazione introduce un ulteriore step nel processo di infezione del dispositivo (che di fatto diminuisce le probabilità di successo)”, mette in guardia Passeri, “dall’altro gli attaccanti hanno valutato questo aspetto come un rischio minore rispetto all’abuso dei servizi di Accessibilità, abuso che avrebbe reso più semplice l’identificazione di un comportamento sospetto da parte dell’app, e di conseguenza aumentato la possibilità di rilevamento durante la pubblicazione su Google Play Store”.
“Per fare un parallelismo, in questo caso gli attaccanti hanno preferito abusare dei ‘permessi di accessibilità degli utenti’ facendo leva su un aspetto emotivo della vittima: l’aggiornamento di un componente di sicurezza o la necessità di tenere il proprio dispositivo in ordine tramite un ‘Phone Cleaner'”, sottolinea Passeri.
Ma uuna volta installato, la dropper app contatta i server di command and control (C2) effettuando la richiesta del file malevolo SharkBot APK. Il dropper poi avverte l’utente che l’aggiornamento è disponibile e chiede loro di installare l’APK e cos’ si procura tutti i permessi richiesti.
Per offuscare infine la rilevazione automatica e renderla più difficoltosa, SharkBot archivia la configurazione hard-coded nel form cifrato sfruttando l’algoritmo RC4. E il gioco è fatto, l’infezione ha luogo.
Come proteggersi
Per proteggersi è necessario innanzittutto rimuovere le app nel caso di avvenuta installazione. Ma soprattutto è necessario aumentare il grado di conspevolezza di utenti consumer ed enterprise. Infatti “la tecnica è consolidata e sfrutta la mancanza di cultura di sicurezza degli utenti (e troppo spesso anche delle organizzazioni)”, mette in evidenza Passeri.
“Gli utenti continuano ad installare software di dubbia provenienza sui propri dispositivi senza verificarne la provenienza e la reputazione del produttore, ed il fatto che tali installazioni avvengano su dispositivi personali non rende assolutamente il rischio inferiore, dal momento che la crescente remotizzazione della forza lavoro ha reso estremamente labile il confine tra l’utilizzo personale e professionale del proprio dispositivo. Lo stesso vale purtroppo anche per i dispositivi aziendali dove Netskope ha rilevato un incremento del 97% dell’utilizzo personale, che si è tradotto in un incremento del 161% dell’utilizzo di app e siti a rischio”, conclude l’analista.
