Il trojan bancario remoto SharkBot è stato individuato per la prima volta in natura nell’ottobre 2021. I ricercatori di sicurezza di Cliffy lo scoprono e concludono che è unico, non legato a malware come thibot o Xenomorph – Aveva alcune funzioni notevolmente complesse e dannose. La prima, l’Automated Transfer System (ATS), è nuova per Android e permette agli aggressori di trasferire automaticamente fondi dai conti delle vittime, senza bisogno di intervento umano. E come i ricercatori di sicurezza IT britannici hanno scoperto, uno SharkBot aggiornato si nasconde all’interno di un’implementazione antivirus dall’aspetto innocente che è ancora disponibile sul Google Play Store a partire da sabato.
I ricercatori di NCC Group hanno pubblicato un rapporto all’inizio di questa settimana, ha spiegato come SharkBot ha funzionato e come ha finito per bypassare le misure di sicurezza del Play Store. L’applicazione dannosa agisce come un disco velenoso a tre strati, con uno strato mascherato da antivirus e il secondo strato come una versione in miniatura di SharkBot che viene poi aggiornato scaricando la versione completa del malware. È allora che l’attività inizia a utilizzare una varietà di tattiche per saccheggiare i conti bancari delle vittime.
Secondo NCC, SharkBot può eseguire un “attacco in sovrapposizione” nel momento in cui rileva un’applicazione bancaria attiva. Viene visualizzata una schermata che assomiglia alla rispettiva banca, pronta a fornire le credenziali di accesso. Il programma attiva anche un keylogger che invia tutto ciò che si digita ai server dell’attaccante – e non solo intercetta i messaggi SMS, ma può anche nasconderli. Il programma può anche dirottare le notifiche in entrata e inviare messaggi che hanno origine al comando e controllo dell’attaccante. In definitiva, SharkBot può utilizzare questi metodi per possedere completamente uno smartphone Android.
Fortunatamente, questa applicazione dannosa non si è diffusa a più di 1.000 download – fino ad ora. Tuttavia, se si possiede Scarica il falso “Antivirus, Super Cleaner” dal Play Store, quindi eliminarlo immediatamente e considerare la possibilità che è necessario cancellare l’intero telefono. Questo è uno squalo che non vedrai arrivare grazie alla pinna dorsale che sporge dall’acqua.
