sharkbot,-il-malware-si-nasconde-in-finte-app-|-sicurezza.net

SharkBot, il malware si nasconde in finte app | sicurezza.net

Una nuova variante di SharkBot si nasconde in finte app camuffate da file manager, riuscendo a rubare informazioni finanziarie.

Vediamo come difendersi da questo trojan bancario, in grado di bypassare i sistemi di controllo.

SharkBot, nuova collezione di app Android dannose

Gli analisti di Bitdefender hanno identificato nell’app store ufficiale di Google Play una nuova collezione di applicazioni Android dannose, che infettano gli utenti con il trojan bancario Sharkbot.

Queste applicazioni, spacciate come file manager, in realtà fungono da dropper per il rilascio di una nuova variante del trojan bancario SharkBot. Quest’ultimo è un malware capace di rubare dati finanziari.

Il malware consente ai cybercriminali di far visualizzare, sui dispositivi colpiti, moduli di accesso falsi. Ci riescono con tecniche di tipo overlay su richieste di accesso legittime delle app bancarie. Le credenziali inserite su questi moduli falsi sono rubate e inviate agli attori delle minacce.

Questi sono i nomi delle app incriminate:

  • X-File Manager, con più di 10.000 download;
  • FileVojager, con più di 5.000 download;
  • LiteCleaner M, con più di 1.000 download;
  • Phone AID, Cleaner, Booster.

App dropper usate per eludere la sicurezza

Gli attori delle minacce migliorano in continuazione gli strumenti di attacco per eludere i controlli di Google e aumentare l’efficacia degli attacchi. L’impiego delle app dropper è in crescita perché si tratta di uno strumento che consente il superamento delle restrizioni.

Queste app non trasportano il payload dannoso al momento dell’installazione (eludendo così il rilevamento quando vengono presentate su Google Play) e lo recuperano successivamente da una risorsa remota, dopo l’installazione.

Inoltre, le app trojan sono dei file manager, perciò suscitano meno sospetti negli utenti quando richiedono di concedere autorizzazioni di sicurezza.

Le false app rimosse dal Play Store

Secondo i dati raccolti, l’attuale campagna di distribuzione di SharkBot è mirata a determinati target. Il bacino di utenti interessati si trova in UK, Italia, Iran, Germania e in altri Paesi ma con un’incidenza minore.

La prima app dannosa è X-File Manager, distribuita da Victor Soft Ice LLC. Secondo l’analisi, l’app eseguirebbe controlli anti-emulazione per eludere il rilevamento, caricando SharkBot solo su SIM britanniche o italiane. In questo modo controlla sui dispositivi degli utenti infettati la presenza di determinate applicazioni di home banking.

In particolare, l’app dannosa richiede all’utente di concedere diverse autorizzazioni (lettura/scrittura di archivi esterni, installazione di nuovi pacchetti, accesso ai dettagli account) spacciandole per richieste legittime, ma che in realtà servono per continuare il processo di infezione. L’utente è così indotto a credere che si tratti di un aggiornamento contestuale all’installazione dell’app file manager.

I ricercatori Bitdefender spiegano che “l’applicazione esegue una richiesta all’URI, scarica il pacchetto e scrive il payload dannoso sul dispositivo”. Il dropper simula quindi un aggiornamento dell’applicazione corrente per completare l’installazione e chiede all’utente di installare l’APK rilasciato.

Le altre app dannose individuate e che installerebbero ShakBot sono:

  • FileVoyager, distribuita da Julia Soft Io LLC. Anche FileVoyager presenterebbe lo stesso schema operativo di X-File Manager rivolgendosi ad utenze in Italia e nel Regno Unito;
  • LiteCleaner M e Phone AID, Cleaner, Booster 2.6, attualmente disponibili solo tramite l’app store di terze parti APKSOS.

Come difendersi da SharkBot

Nonostante le modifiche apportate alla politica e ai meccanismi di sicurezza di Google Play Protect, le applicazioni dropper continuano a insidiarsi nello store ufficiale, riuscendo così a raggiungere un vasto bacino di vittime.

SharkBot non è una novità. Il malware, in continua evoluzione, è già apparso sul Play Store sotto varie altre forme come riportato dai ricercatori di cybersecurity ThreatFabric in un rapporto dello scorso mese.

Gli analisti hanno segnalato la scoperta a Google prima della loro divulgazione, lasciando il tempo necessario per la rimozione dal Play Store. Tuttavia, alcune di queste app risultano ancora disponibili su app store di terze parti. E molti degli utenti che le hanno scaricate in precedenza potrebbero averle ancora installate sui loro smartphone.

Si consiglia perciò di rimuovere queste app il prima possibile e modificare le credenziali di accesso dei propri conti bancari online. Parallelamente le organizzazioni finanziarie dovrebbero intraprendere azioni proattive per tutelare i loro clienti e avviare procedure di segnalazione, qualora rilevassero un coinvolgimento (anche indiretto) delle proprie applicazioni in attività fraudolente.

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *