Sharkbot: un malware che attacca il conto corrente si nasconde in un falso antivirus su Play Store

Il Play Store di Google per Android è stato scelto per un attacco hacker condotto tramite un pericoloso malware SharkBot, individuato dagli esperti di sicurezza di Cleafy tra Ottobre e Novembre del 2021.

Un quel periodo infatti gli esperti di Cleafy avevano individuato le tracce di questo virus SharkBot, ancora molto poco diffuso in quel periodo. I membri del team di Cleafy hanno scoperto che si tratta si un malware unico nel suo genere, completamente indipendente da altri malware come TeaBot o Xenomorph, e che comprende alcune funzioni particolarmente sofisticate e insidiose.

SharkBot infatti, servendosi di tecniche di Automatic Transfer Systems (ATS), è in grado di simulare click, tocchi e pressioni umane, senza richiedere l’intervento dell’utente reale, per spostare il denaro dal conto corrente della vittima.

SharkBot è in grado di trasferire denaro dal conto corrente della vittima senza che sia necessario il suo intervento

A lanciare l’allarme è stato il gruppo inglese NCC, esperto nella mitigazione dei rischi digitali, che ha individuato lo SharkBot ben nascosto in una app antivirus per Android dall’aspetto apparentemente innocente. L’app in questione e “Antivirus, Super Cleaner” un app che dovrebbe migliorare le prestazione del nostro device eseguendo una sua scansionare, eliminando i file inutili, abbassandone la temperatura, e altre azioni del genere.

In realtà, come spiegano i ricercatori del gruppo NCC nel loro rapporto pubblicato all’inizio di questa settimana, questo SharkBot funziona su tre diversi livelli, con uno strato mascherato da antivirus, il secondo strato da una versione ridotta di SharkBot che si aggiorna scaricando la versione completa del malware. Ed è proprio dopo l’aggiornamento completo che il malware è pronto a mettere in atto le sue strategie per svuotare i conti correnti bancari delle vittime.

Questo malware è in grado di eseguire un “attacco overlay” nel momento in cui rileva un’app bancaria attiva. Ogni volta che viene aperta un’app bancaria SharkBot vi soprappone un layer finto, uguale all’originale, in modo da ingannare l’utente che vi digiterà le sue credenziali di accesso. Con lo stesso scopo avvia un keylogger che annota i pulsanti cliccati, e i dati inseriti durante la compilazione dei form. Tutti questi dati vengono poi inviati al server remoto di comando e controllo.

Sembra inoltre che questo malware sia in grado di intercettare, leggere e nascondere gli SMS, come ad esempio i messaggi con i codici di autorizzazione per le operazioni bancarie. Può inoltre utilizzare la funzione di risposta rapida alle notifiche per inoltrare comandi preimpostati da remoto, come quelli per scaricare la versione completa del virus. In definitiva, SharkBot può utilizzare questi metodi per possedere completamente uno smartphone Android.

Se avete installato questa app correte subito ai ripari

Fortunatamente, sembra che questa particolare app dannosa non si è diffusa molto e non ha superato al momento i 1.000 download. Tuttavia, se si ha per caso scaricato l’app “Antivirus, Super Cleaner” dal Play Store, è bene eliminarlo immediatamente e prendere seriamente in considerazione un ripristino del device alle impostazioni di fabbrica.