SharkBot Android Trojan

I ricercatori hanno scoperto un'operazione di attacco che coinvolge un nuovo trojan Android chiamato SharkBot. La minaccia viene distribuita in più paesi e regioni geografiche. L'obiettivo degli aggressori è raccogliere informazioni sensibili dalle loro vittime, come credenziali dell'account e dettagli di pagamento. Le versioni attuali di SharkBot sono in grado di impersonare e influenzare 27 applicazioni mirate. Di questi, 22 appartengono a banche italiane e britanniche mentre 5 sono app per criptovalutelicazioni dagli Stati Uniti.

Funzionalità minacciosa

SharkBot non mostra alcuna sovrapposizione con le famiglie di Trojan bancari esistenti e si ritiene che sia una minaccia personalizzata che è ancora in fase di sviluppo attivo. È in grado di eseguire le solite azioni intrusive associate a questo tipo di malware. Sfruttando i legittimi servizi di accessibilità Android, può eseguire attacchi di overlay mostrando schermate di accesso false per le app mirate e quindi sottrarre le informazioni immesse. Inoltre, SharkBot può intercettare i messaggi SMS sul dispositivo violato, stabilire routine di keylogging, ecc.

Tuttavia, l'obiettivo principale di SharkBot è avviare trasferimenti di denaro sui dispositivi infetti. Impiegando una tecnica di Sistemi di Trasferimento Automatico (ATS), può contrastare diversi meccanismi di autenticazione a più fattoricon successo. L'attacco ATS consente ai criminali informatici di effettuare trasferimenti di denaro compilando automaticamente i campi richiesti dell'app legittima di mobile bankinglicazioni e poi cablare i fondi della vittima a una rete di corrieri.

SharkBot ha anche un solido set di tecniche di anti-rilevamento ed evasione. Esegue più controlli per gli emulatori in esecuzione sul dispositivo nascondendo anche la propria icona dalla schermata principale. La comunicazione della minaccia con il suo server Command-and-Control (C2, C&C) è crittografata con un potente algoritmo.

Distribuzione

La minaccia si diffonde tramite un'app armatalicazioni che pretendono di offrire funzioni utili. L'applicazionelicazioni potrebbero fungere da lettori multimediali, strumenti di recupero dati o applicazioni che offrono servizi di streaming e TV in diretta. Va notato che finora nessuna delle app SharkBotlicazioni sono riuscite a violare la sicurezza del Google Play Store. Invece, molto probabilmente gli aggressori fanno affidamento su app di terze partipiattaforme di licazione, tecniche di caricamento laterale o ingannare gli utenti attraverso varie tattiche di ingegneria sociale.