Giusto un mese fa vi abbiamo parlato di Sharkbot, malware bancario che ha fatto la sua prima comparsa nel 2021 e che, di recente, si nascondeva in un’applicazione antivirus sul Play Store; ora i ricercatori di Check Point Software Technologies hanno individuato altre cinque app, oltre la già citata, nelle quali si nascondeva il malware in questione.
Il funzionamento è sempre lo stesso, presentare agli utenti finte finestre di accesso ai servizi bancari, con lo scopo di rubare informazioni e credenziali di accesso; una volta inseriti i dati, questi vengono inviati ad un server dannoso. I ricercatori hanno anche scoperto un’interessante funzione di geofencing, qualora gli utenti del dispositivo si trovino in Cina, India, Romania, Russia, Ucraina o Bielorussia, l’esecuzione del malware viene impedita.
Sono stati identificati tre account sviluppatore dietro Sharkbot, attivi dall’autunno 2021, e nonostante queste app siano già state rimosse dal Play Store, continuano ad essere disponibili presso servizi alternativi. Il dato più preoccupante però riguarda la diffusione del malware, come si evince dal grafico poco sotto infatti, ben il 62% degli utenti coinvolti risiedono in Italia, in totale le sei applicazioni sono state scaricate più di 11.000 volte. Nonostante non vi siano prove certe, i ricercatori sostengono che con molta probabilità, i creatori di Sharkbot siano russi.
Google è stato subito informato di quanto scoperto e ha provveduto, dopo un’analisi interna, a rimuovere le applicazioni coinvolte dal suo Store (cosa non accaduta inizialmente quando vi riportammo la notizia un mese fa); il direttore di Check Point Software Technologies, Eusebio Nieva, ha così commentato: “Abbiamo scoperto sei app sul Google Play Store che stavano diffondendo malware Sharkbot che ruba credenziali e informazioni bancarie. Se osserviamo il numero di download, possiamo presumere che i responsabili della minaccia abbiano colpito l’obiettivo con il loro metodo di propagazione del malware. Il criminale informatico ha scelto strategicamente le app su Google Play perché sono considerate affidabili dagli utenti. Ciò che è anche degno di nota qui è che inviano messaggi alle vittime contenenti collegamenti dannosi, il che porta a un’adozione diffusa. In breve, l’uso di messaggi push da parte degli aggressori per richiedere una risposta agli utenti è una tecnica di propagazione insolita. Penso che sia importante per tutti gli utenti Android sapere di pensarci due volte prima di scaricare qualsiasi soluzione antivirus dal Play Store. Potrebbe essere Sharkbot”.
In conclusione i consigli per gli utenti lato sicurezza sono sempre gli stessi, limitarsi a scaricare le applicazioni dal Play Store evitando soluzioni alternative, diffidare di sviluppatori poco noti e soprattutto evitare applicazioni di dubbia utilità, quali per esempio gli antivirus su Android: la soluzione per tutelarvi, in questo caso, potrebbe essere il cavallo di Troia che infetta il vostro dispositivo.