Torniamo a parlarvi di malware e di Android, non è la prima volta che leggete sulle nostre pagine di SharkBot: del malware in questione vi avevamo già parlato a marzo di quest’anno, poi ancora ad aprile. Ora torniamo sull’argomento perché SharkBot si è evoluto.
Segui TuttoAndroid su Google Discover
Il malware SharkBot diventa più potente, sempre a rischio i conti in banca degli utenti
Dalla sua prima apparizione, avvenuta nel 2021, non è la prima volta che SharkBot si evolve, chi sta dietro a questo e altri tipi di malware è costantemente al lavoro per migliorare le proprie creazioni, al solo scopo di perseguire i propri illeciti intenti.
L’ultima evoluzione del malware in questione comprendeva diverse aggiunte rispetto alla prima versione, infatti era in grado di:
- rubare le credenziali mostrando contenuto Web (WebView) con un sito Web di accesso falso (phishing) non appena rileva l’app bancaria ufficiale aperta
- rubare le credenziali registrando gli eventi di accessibilità, relativi alle modifiche ai campi di testo e ai pulsanti cliccati, e inviando questi log al server di comando e controllo (C2)
- intercettare/nascondere i messaggi SMS
- ottenere il controllo remoto completo di un dispositivo Android (tramite Servizi di accessibilità)
L’ultima apparizione in ordine di tempo di SharkBot si è manifestata nelle app Mister Phone Cleaner e Kylhavy Mobile Security che, nonostante siano state già rimosse dal Play Store, hanno comunque fatto registrare 60.000 download complessivamente, il che si traduce in 60.000 dispositivi infetti in circolazione. Gli utenti che hanno scaricato le applicazioni quando erano disponibili, dovrebbero immediatamente provvedere alla loro disinstallazione.
Ora SharkBot in aggiunta a quanto sopra, è anche in grado di rubare i cookie di accesso degli utenti; il fatto che le applicazioni sulle quali era stato individuato (sia inizialmente che di recente) non siano più presenti sul Play Store, non permette agli utenti di dormire sonni tranquilli: infatti il malware non era direttamente presente nei software scaricabili dal Play Store (che di conseguenza non venivano rilevati come dannosi da Play Protect), ma veniva scaricato in un secondo momento con un aggiornamento dell’applicazione infetta al suo primo avvio. L’unico modo per l’utente di tutelarsi è quello di disinstallare l’applicazione di turno senza nemmeno aprirla.
Come già detto, una nuova preoccupante funzionalità è stata aggiunta a SharkBot, ovvero la possibilità di rubare i cookie di accesso degli utenti: quando il proprietario dello smartphone accede al proprio conto bancario, il cookie della sessione viene inviato ad un server di controllo e comando. Grazie a questa e alle precedenti funzionalità introdotte, il malware è in grado di prendere il totale controllo del dispositivo infettato, e con le informazioni in suo possesso è tecnicamente in grado anche di eseguire operazioni bancarie.
Nonostante si registrino pochi casi come questo, è sempre meglio tutelarsi ed i consigli per farlo sono sempre gli stessi: limitarsi a scaricare le applicazioni dal Play Store evitando soluzioni alternative, diffidare di sviluppatori poco noti e soprattutto evitare applicazioni di dubbia utilità, se qualcosa non vi serve è inutile scaricarlo.
Potrebbe interessarti anche: Android 13 non ferma i malware: cancellate subito queste 35 applicazioni
