SharkBot, il nuovo trojan per Android che ruba dati bancari: come proteggersi - Cyber Security 360

L'ANALISI TECNICA

SharkBot, il nuovo trojan per Android che ruba dati bancari: come proteggersi

È stato ribattezzato SharkBot il nuovo malware per Android in grado di aggirare i controlli di autenticazione a più fattori per compiere attacchi focalizzati sul furto di credenziali bancarie e criptovalute da dispositivi vulnerabili. Ecco tutti i dettagli tecnici e i consigli per difendersi

17 Nov 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

Si chiama SharkBot il trojan bancario di nuova generazione per Android che sta prendendo di mira in particolar modo l’Europa (Italia compresa) sfruttando la tecnica dei sistemi di trasferimento automatico sui dispositivi compromessi, per sottrarre credenziali a vari servizi bancari e di criptovaluta.

Modalità di diffusione e obiettivi di SharkBot

Al momento, come confermato dal team di sicurezza Cleafy TIR che ha scoperto e analizzato SharkBot, nessun campione .apk risulta presente sul Play Store di Google: pertanto, le app malevole che si ritiene siano nelle loro prime fasi di sviluppo e non abbiano nessun legame con altre famiglie di malware Android note, vengono distribuite molto probabilmente sui dispositivi degli utenti utilizzando le consuete tecniche di ingegneria sociale o tramite incauti download da app store di terze parti.

WHITEPAPER
Rete, sicurezza e digital workplace: un nuovo modello per il lavoro agile
Networking
Network Security

https://assets.website-files.com/60201cc2b6249b0358f70f8a/618d135e91d14083ad06f7b2_Fig3.png

Inoltre, dalla ricerca è emerso che almeno dalla fine di ottobre 2021 ci sarebbero ben 27 diversi obiettivi di cui 14 banche internazionali nel Regno Unito, 8 banche in Italia e 5 diversi servizi di criptovaluta negli Stati Uniti.

https://assets.website-files.com/60201cc2b6249b0358f70f8a/618d12f515d28c6ff29b274e_Fig2.png

Come funziona SharkBot

Secondo le analisi dei ricercatori, l’obiettivo principale di SharkBot (il nome deriva dalla presenza di diverse stringhe trovate nei suoi binari, che contengono la parola “Shark”) è quello di avviare trasferimenti di denaro dai dispositivi compromessi tramite la tecnica dei sistemi di trasferimento automatico (ATS) aggirando in questo modo i meccanismi di autenticazione multi fattore (2FA, SCA e MFA).

Ciò consentirebbe agli operatori malevoli di compilare automaticamente i campi nelle app di home banking legittime e avviare così le transazioni bancarie dai dispositivi infetti verso una rete controllata dall’attore della minaccia, richiedendo interventi minimi da parte dell’utente.

https://assets.website-files.com/60201cc2b6249b0358f70f8a/618d1247e64fc2c4c1a44543_Fig1.png

In particolare, una volta installato con successo nel dispositivo della vittima mascherandosi da app legittima, come del resto fanno anche altri banking trojan (Teabot e UBEL, ad esempio), SharkBot richiede ripetutamente agli utenti con popup ingannevoli la concessione di ampie autorizzazioni.

Nella fattispecie, però, lo sfruttamento delle impostazioni di accessibilità avviene allo scopo di eseguire attacchi di tipo ATS per ottenere credenziali, informazioni personali e saldi bancari correnti.

Le peculiarità di SharkBot

Sebbene il malware sia dotato di tutte le funzionalità classiche già osservate sui trojan bancari Android, come la capacità di eseguire attacchi overlay per rubare credenziali di accesso e informazioni sulle carte di credito, intercettare comunicazioni SMS bancarie legittime, abilitare il keylogging e ottenere il controllo remoto completo dei dispositivi colpiti, SharkBot si distingue soprattutto per la capacità di eludere l’analisi e il rilevamento, attraverso l’esecuzione di controlli anti emulatore, la crittografia delle comunicazioni con un server C2 remoto e nascondere l’icona dell’app dalla schermata iniziale dopo l’installazione, oltre che eliminare efficacemente la necessità di registrare un nuovo dispositivo per eseguire le attività fraudolente, aggirando anche i meccanismi di autenticazione a due fattori messi in atto dalle applicazioni bancarie.

Tasso di rilevamento

Finora, SharkBot sembra avere un tasso di rilevamento molto basso da parte delle soluzioni antivirus e ciò potrebbe imputarsi al fatto che il malware sia stato implementato ex novo anche con delle tecniche anti rilevamento come routine di offuscamento delle stringhe e algoritmi di generazione di dominio (DGA) per la propria comunicazione di rete che sicuramente ne rallentano l’analisi statica e dinamica.

https://assets.website-files.com/60201cc2b6249b0358f70f8a/618d14b949565523557ffd01_Fig7.png

Come proteggersi dai trojan Android

La scoperta di SharkBot in natura mostra, secondo i ricercatori, come lo sviluppo dei malware in ambiente mobile sia in continua evoluzione sempre alla ricerca di nuovi modi per aggirare anche le contromisure di rilevamento comportamentale messe in atto da più banche e servizi finanziari negli ultimi anni.

Pertanto, per proteggersi dalle minacce sempre più dilaganti correlate alle innumerevoli varianti dei trojan bancari Android, restano sempre valide almeno le seguenti misure di sicurezza:

  • verificare sempre l’attendibilità delle app utilizzate, confrontandosi con i relativi servizi clienti e controllando le valutazioni degli utenti;
  • affidarsi agli store legittimi anche se sempre con cautela;
  • prestare attenzione alle autorizzazioni richieste dai processi d’installazione delle app, concedendole solo se effettivamente necessarie per il corretto funzionamento;
  • eseguire sempre sul proprio sistema operativo Android gli update e le patch di sicurezza rilasciati periodicamente oltre che proteggerlo tramite sistemi antivirus affidabili e aggiornati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4