Scoperto per la prima volta nell’ottobre 2021, SharkBot è un trojan bancario in grado di aggirare i meccanismi di autenticazione a più fattori per rubare le credenziali dell’account dai dispositivi mobili Android. Quindi ruba i fondi dall’online banking e dai conti in criptovaluta dell’utente.
SharkBot funziona eseguendo transazioni non autorizzate tramite Automatic Transfer Systems (ATS). Crea copie realistiche dei moduli di input bancari e quindi, dopo che l’utente ignaro ha inserito i dati necessari, invia i dati compromessi a un server dannoso.
Più di recente, SharkBot è stato eliminato da Google Play, quando ha rimosso sei diverse app antivirus scaricando e installando malware sui telefoni di ignari utenti che, ironia della sorte, stavano solo cercando di proteggersi da virus e furti. Le sei app sono state scaricate almeno 15.000 volte dagli utenti in Italia e nel Regno Unito prima della loro rimozione.
Sebbene il malware specifico per Android non sia nuovo, ci sono alcune caratteristiche uniche di Sharkbot che lo distinguono dagli altri trojan, ricordando che i malware oggi si nascondono anche in applicazioni come whatsapp.
Innanzitutto, ha una funzione di geofencing che gli consente di indirizzare gli utenti in base alla loro area geografica. Più di recente, sono stati presi di mira utenti britannici e italiani, ma sono stati ignorati utenti provenienti da Cina, Russia, Ucraina, India, Romania e Bielorussia.
SharkBot utilizza anche un Domain Generated Algorithm (DGA), cosa insolita nel malware incentrato su Android. Utilizzando DGA, SharkBot genera sette domini per ogni seme hardcoded.
Sharkbot, così ti svuota il conto bancario
I ricercatori hanno trovato otto diverse combinazioni di seme/algoritmo, fornendo 56 domini a settimana.
SharkBot utilizza anche oltre 22 comandi su androidi infetti. E’ anche inclusa la richiesta di autorizzazione per inviare messaggi SMS, la disinstallazione di altre applicazioni.
Solo il tempo dirà quali sono i danni effettivi a lungo termine di questo malware. Mentre Google ha fatto progressi significativi nella riduzione di malware e altre app dannose su Google Play, questo caso più recente con SharkBot mostra che gli hacker stanno solo migliorando nel pescare informazioni.
SharkBot è un ottimo promemoria del fatto che alla fine siamo tutti responsabili della nostra sicurezza informatica e che spetta agli utenti cercare le app (anche di marchi affidabili) prima di scaricarle. Praticare un’igiene informatica sicura in modo da non essere vulnerabile nelle acque infestate dagli squali è fondamentale!
Il trojan bancario di accesso remoto SharkBot è stato individuato per la prima volta nell’ottobre 2021. I ricercatori di sicurezza lo hanno scoperto e hanno concluso che era unico nel suo genere. Non possiede alcuna connessione a malware come TeaBot o Xenomorph, e aveva alcune funzioni particolarmente sofisticate e insidiose.
Uno SharkBot aggiornato può nascondersi, quindi, ancora oggi, all’interno di un’app antivirus dall’aspetto innocente che è ancora disponibile su Google Play Store.