Il malware Android Sharkbot si nasconde nelle app antivirus false su Google Play

I ricercatori di sicurezza hanno scoperto ancora un altro lotto di app sul Google Play Store ufficiale che fingevano di essere antivirus ma erano piene di malware. Le app sono state intrecciate con il malware bancario Sharkbot che colpisce i dispositivi Android.

Un team di ricerca con Check Point ha scoperto che le app antivirus false sono state scaricate circa 15.000 volte prima di essere rimosse. Google ha rimosso le app cariche di malware solo dopo che Check Point ha inviato un avviso all'azienda.

Sharkbot usa tecniche insolite

Le app dannose erano "almeno sei" ed erano progettate per assomigliare a strumenti antivirus e di sicurezza mobile legittimi, ma la realtà era esattamente l'opposto. Le app contenevano il ladro di Sharkbot, un ceppo di malware Android, sviluppato per rubare informazioni e credenziali bancarie.

Secondo Check Point, Sharkbot ha due caratteristiche che lo rendono uno dei migliori malware per Android. Il primo di questi è l'uso da parte del malware di un algoritmo di generazione del dominio. Questo si riferisce alla capacità del malware di generare occasionalmente una serie di nomi di dominio diversi, che poi utilizza per instradare le comunicazioni ai suoi server di comando e controllo.

La seconda caratteristica che di solito non si vede nel malware Android è il geofencing utilizzato da Sharkbot. Quando viene utilizzato in relazione al malware, il geofencing è il termine utilizzato per denotare la capacità del software dannoso di attaccare solo determinate regioni e dati demografici, evitandone altri, come se virtualmente "recintassero". Questo è comunemente visto con malware che non tenta di attaccare le vittime nella sua area di origine o in regioni con misure di sicurezza rafforzate.

Infezioni principalmente nell'Europa occidentale

La maggior parte dei dispositivi e degli IP identificati come infetti dai ricercatori si trovavano nell'Europa occidentale, principalmente nel Regno Unito e in Italia, con solo una frazione del 2% delle restanti infezioni in altri territori.

Check Point ha concluso il suo rapporto sul malware Android con il consiglio che facciamo anche eco ogni volta: installa solo applicazioni da "editori affidabili e verificati". Tuttavia, questa è la seconda volta che il malware Android in agguato sul Google Play Store ufficiale ha fatto notizia in poche settimane, quindi questo consiglio, sebbene fondamentalmente valido, non sarà sufficiente per proteggere tutti gli utenti da ogni minaccia.