Il malware Sharkbot si è evoluto su Android ed è sempre più pericoloso

La famiglia di malware Sharkbot è ancora una volta al centro dell'attenzione e dopo essere stata individuata nell'autunno dello scorso anno, proprio in queste ore è nuovamente protagonista. A quanto pare sembra essere tornata in auge con una versione più pericolosa e migliorata.

Il problema riguarda Android, poiché è recentemente riemersa all'interno di un'app bancaria e crittografica, che ora ha la capacità di rubare i cookie dagli accessi all'account e bypassare le impronte digitali o i requisiti di autenticazione. Un avviso sulla nuova versione del malware è stato condiviso dall'analista, Alberto Segura, e dall'analista dell'intelligence, Mike Stokkel, sui propri account Twitter lo scorso 2 settembre.

Android 15 Lug

Secondo Segura, la nuova versione del malware è stata identificata il 22 agosto e, come affermato da lui stesso "può eseguire attacchi overlay, rubare dati tramite keylogging, intercettare messaggi SMS o fornire il controllo remoto completo del dispositivo host abusando dei servizi di accessibilità."

Non c'è da scherzare dunque, anche perché la nuova versione è stata trovata all'interno di due app Android, ossia 'Mister Phone Cleaner' e 'Kylhavy Mobile Security', che sin dal loro debutto nel Play Store hanno rispettivamente accumulato 50.000 e 10.000 download complessivi. Le due app sono arrivate indisturbate all'interno del Play Store poiché la revisione automatizzata del codice di Google non ha rilevato alcun codice dannoso.

Ora sono state rimosse ma secondo alcuni esperti di sicurezza, gli utenti che le hanno installate senza conoscere il reale scopo per cui erano state create potrebbero essere ancora a rischio e dovrebbero rimuoverle manualmente.

Un'analisi approfondita della società di sicurezza italiana Cleafy ha rilevato che SharkBot ha 22 obiettivi, che includono cinque scambi di criptovalute e un certo numero di banche internazionali negli Stati Uniti, nel Regno Unito e in Italia. Per quanto riguarda la modalità di attacco del malware, la versione precedente del malware SharkBot faceva affidamento sui permessi di accessibilità per eseguire automaticamente l'installazione del malware SharkBot dropper, mentre questa nuova versione differisce poiché chiede alla vittima di installare il malware come falso aggiornamento affinché l'antivirus rimanga protetto dalle minacce.

Non è dunque presente nell'applicazione in sé e pertanto rappresenta un problema ancora più serio. Una volta installato, quando la vittima accede al proprio conto bancario o crittografico, SharkBot è in grado di strappare il cookie di sessione valido tramite il comando "logsCookie", che sostanzialmente ignora qualsiasi metodo di autenticazione o fingerprinting utilizzato.

Secondo la prima analisi di SharkBot di Cleafy, l'obiettivo principale di SharkBot era quello di avviare trasferimenti di denaro dai dispositivi compromessi tramite la tecnica dei sistemi di trasferimento automatico (ATS) aggirando così i meccanismi di autenticazione a più fattori.