A distanza di un paio di giorni torniamo a parlarvi di malware Android sul Play Store, dopo la notizia del ritorno di Teabot infatti, un nuovo trojan è stato individuato in un’app sullo store di Big G. SharkBot, questo il nome del malware scoperto dal gruppo NCC, si nasconde in un’applicazione antivirus, teoricamente deputata alla pulizia dello smartphone; l’applicazione è ancora presente nel momento in cui scriviamo, ma auspichiamo che venga rimossa al più presto.

Sharkbot è evoluto rispetto alla prima apparizione

Il trojan in questione, che ora si nasconde nell’app “Antivirus, Super Cleaner” era stato già individuato nel 2021 dallo stesso gruppo, ma non era particolarmente diffuso; una delle differenze principali rispetto agli altri malware bancari, consiste nel fatto che SharkBot sia in grado di trasferire denaro attraverso ATS (Automatic Transfer Systems) grazie alla simulazione di tocchi, clic e pressioni di pulsanti sui dispositivi compromessi.

L’ultima versione individuata è più evoluta della precedente, nello specifico è in grado di:

  • rubare le credenziali mostrando contenuto Web (WebView) con un sito Web di accesso falso (phishing) non appena rileva l’app bancaria ufficiale aperta
  • rubare le credenziali registrando gli eventi di accessibilità, relativi alle modifiche ai campi di testo e ai pulsanti cliccati, e inviando questi log al server di comando e controllo (C2)
  • intercettare/nascondere i messaggi SMS
  • ottenere il controllo remoto completo di un dispositivo Android (tramite Servizi di accessibilità)

sharkbot-malware

Per fare tutto ciò, SharkBot utilizza l’autorizzazione di accessibilità di Android, concedendosi da solo le autorizzazioni aggiuntive in base alle necessità (l’app inizialmente non richiede permessi particolarmente invadenti), questo gli consente per esempio di accorgersi quando l’utente utilizza un’app bancaria, mettendo poi in atto le procedure necessarie al furto delle credenziali.

Un’altra novità di rilievo rispetto ai concorrenti è rappresentata dalla capacità di sfruttare la funzione “risposta diretta” per le notifiche, può quindi intercettare le notifiche ricevute e rispondere utilizzando comandi preimpostati dal server c2; questa tecnica viene anche usata inizialmente per installare SharkBot, l’applicazione infatti contiene una versione ridotta del malware, che viene poi scaricato per intero e installato grazie a questa funzionalità.

Come già detto, l’applicazione è al momento ancora disponibile sul Play Store, qualora doveste accorgervi di averla scaricata, provvedete subito a disinstallarla; se poi volete stare tranquilli controllate i vostri conti bancari per verificare che non manchi nulla. Non ci sono indicazioni circa un eventuale persistenza del malware a livello di sistema, ma se voleste essere ancora più sicuri, un reset alle impostazioni di fabbrica del vostro dispositivo potrebbe aiutare.