L'ANALISI TECNICA

SharkBot, il trojan bancario per Android che si camuffa da finto antivirus: i dettagli

Il trojan bancario SharkBot è di nuovo attivo e sta prendendo di mira gli utenti Android di Italia e Regno Unito. Si nasconde dietro finte app antivirus ed è programmato per rubare credenziali bancarie, gestire e cancellare SMS e rispondere alle notifiche Messenger e WhatsApp inviando link di phishing

12 Apr 2022
D
Manuel De Stefano

IT Process Expert

A distanza di sei mesi dalla sua prima identificazione, il trojan bancario SharkBot torna a colpire gli utenti di dispositivi Android (italiani compresi) celandosi all’interno di 7 nuove app pubblicate sul Play Store che promettono funzioni di antivirus gratuiti.

Come riportato nel report condiviso dai ricercatori di Check Point Research (CPR), il trojan bancario SharkBot è comparso nel novembre 2021, colpendo dispositivi di ignari utenti convinti d’aver installato delle app innocue per la protezione del dispositivo Android e la pulizia dei file temporanei, app in seguito rimosse da Google dal proprio store.

Nella versione 2022 SharkBot utilizza nuove funzioni di geofencing e di attivazione in sordina, che permettono al trojan di agire su diversi livelli di controllo del dispositivo.

Da segnalare, poi, che l’attacco portato avanti dalla nuova variante di SharkBot è mirato all’Italia e al Regno Unito, mentre il malware è programmato per ignorare gli utenti provenienti dalla Cina, India, Romania, Russia, Ucraina e Bielorussia.

Le app malevole di diffusione di SharkBot

SharkBot si è celato dietro a falsi nomi di app quali:

  • Antivirus Super Cleaner
  • Codice Fiscale
  • Center Security Antivirus
  • Powerful Cleaner Antivirus
  • Atom Clean-Booster Antivirus
  • Alpha Antivirus Cleaner
  • AP currency converter

Le applicazioni dietro cui si celava SharkBot sono state rilasciate su Google Play il 25 febbraio e rimosse a seguito di segnalazioni il 9 Marzo, ma nuove app hanno fatto la loro comparsa il 15 marzo, il 22 marzo e il 27 marzo.

WHITEPAPER
Conquistare il consumatore cinese sui social: le sfide
Marketing
Retail

Queste app sono state installate più di 57.000 volte. Per poter garantire l’approvazione sul Play Store, la singola app non contiene direttamente SharkBot ma un comando per scaricare l’APK malevolo a seguito dell’installazione dell’app.

Come agisce SharkBot

SharkBot utilizza funzioni di Automatic Transfer Systems (ATS), Domain Generation Algorithm (DGA), overlay, keylogger, lettura e gestione degli SMS.

Una volta installato nel dispositivo, il trojan manomette le schermate delle app bancarie, mostrando false schermate di login dove l’utente può inserire le proprie credenziali, che finiscono direttamente fra le mani dei criminal hacker.

Inoltre, il malware può gestire e cancellare SMS, anche quelli di conferma delle operazioni bancarie.

In totale, le funzionalità del malware SharkBot sono 22 e vengono azionate sul dispositivo da un Command and Control Server (CnC).

smsSend

Permessi per invio SMS

updateLib

Download di un file Jar

updateSQL

Aggiornare il DB locale

updateConfig

Aggiornare diverse configurazioni

uninstallApp

Disinstallare app

collectContacts

Mandare la lista contatti al server

changeSmsAdmin

Cambiare il programma predefinito degli SMS

getDoze

Disabilitare l’ottimizzazione della batteria per agire in background

sendInject

Creare ed inviare una falsa schermata

iWantA11

Abilitare SharkBot nel servizio accessibilità

updateTimeKnock

Aggiornare l’opzione “TIME_KNOCK_ADMIN”

sendPush

Mostrare notifiche push

APP_STOP_VIEW

Prevenire l’attivazione di un app dall’utente

Swipe

Simulare l’azione di swipe

autoReply

Inviare un messaggio autorisponditore alle notifiche

removeApp

Cancellare delle app

serviceSMS

Inviare SMS a un numero e con un mittente specifico

getNotify

Gestire le notifiche

localATS

Ricevere log d’utilizzo dal servizio accessibilità

sendSMS

Inviare SMS

downloadFile

Scaricare dei file

stopAll

Comando funzione insieme a updateLib

Una nuova funzione di SharkBot è quella di poter rispondere in modo automatico alle notifiche ricevute da Facebook Messenger e WhatsApp, inviando un link di phishing con l’invito a scaricare una delle false app antivirus, diffondendosi così fra i contatti della vittima.

I consigli per proteggersi

Nonostante la difficoltà dell’utente finale nel poter individuare un’app malevola se distribuita nello store ufficiale, le tecniche per proteggersi e prevenire gli attacchi su Android sono:

  1. installare solo app verificate, specialmente app note di antivirus;
  2. prima dell’installazione, verificare le recensioni e cercare opinioni sull’app stessa;
  3. eliminare le app non più utilizzate;
  4. tenere costantemente aggiornate le app in uso ed il sistema operativo;
  5. prestare attenzione ad ogni concessione di funzione alle varie app.

WEBINAR
18 Ottobre 2022 - 15:00
Aumentare soddisfazione, fedeltà e scontrino del cliente retail - Soluzioni efficaci per migliorare
Digital Transformation
Manifatturiero/Produzione
@RIPRODUZIONE RISERVATA

Articolo 1 di 4