SharkBot è il malware bancario su Android che si camuffa da antivirus

SharkBot è un malware bancario che circola su Google Play Store camuffandosi da antivirus con funzionalità di pulizia del sistema operativo. Il malware è stato scoperto sul Play Store dai ricercatori di sicurezza di NCC, che hanno pubblicato un'analisi dettagliata del malware.

SharkBot era stato individuato per la prima volta nel mese di ottobre 2021 da Cleafy che già aveva riscontrato la capacità di trasferire denaro tramite Automatic Transfer System tramite la simulazione di comandi touch su dispositivi compromessi.

Si tratta di una funzione che è stata riscontrata anche dai ricercatori di NCC, i quali l'hanno individuata nell'ultima versione del malware, ma che sarebbe stata utilizzata solo in casi circoscritti di attacchi avanzati. SharkBot è caratterizzato, nella sua ultima versione, da quattro funzionalità principali.

Anzitutto il malware può rubare credenziali mostrando contenuti Web con lo sfruttamento di tecniche di phishing non appena rileva l'apertura dell'app bancaria ufficiale. SharkBot può, inoltre, sottrarre le credenziali di accesso all'account registrando gli eventi di accessibilità relativi alle modifiche ai campi di testo e ai pulsanti azionati, inviando quindi i log di tali eventi al server di comando e controllo. Il malware può intercettare e nascondere i messaggi SMS inviati allo smartphone e infine può ottenere il controllo remoto completo di un dispositivo Android.

Il malware può svolgere queste attività perché abusa dell'autorizzazione di accessibilità Android, concedendosi ulteriori autorizzazioni a seconda di quanto necessario. Tutto ciò consente a SharkBot di rilevare quando l'utente avvia un'app bancaria ed eseguire le opportune manovre per rubare le credenziali all'utente.

Abbiamo citato poco sopra la presenza di un server command and control: SharkBot può infatti ricevere comandi da remoto per eseguire svariate attività come ad esempio inviare un SMS, cambiare gestore SMS, scaricare file da un URL, ricevere un file di configurazione, disinstallare app, disattivare l'ottimizzazione della batteria, visualizzare overlay di phishing, attivare o disattivare l'ATS e chiudere un'app specifica quando l'utente tenta di avviarla.

SharkBot è però caratterizzato da una differenza significativa rispetto ad altri trojan bancari per Android, e cioè l'uso di componenti che sfruttano la funzione di "Risposta diretta" per le notifiche: il malware può intercettare nuove notifiche e rispondere ad esse direttamente tramite messaggi che provengono dal server command and control. Questa funzione viene utilizzata dal malware per distribuire payload sul dispositivo compromesso, rispondendo con un URL abbreviato tramite Bit.ly.

I ricercatori hanno poi riscontrato che la versione iniziale di SharkBot che circola sul Play Store contiene una versione limitata del malware allo scopo di ridurre il rischio che venga rilevato e rifiutato dallo store. E' tramite la funzione di risposta diretta vista poco sopra che la versione completa di SharkBot viene scaricata direttamente dal server di command and control e installata automaticamente sul dispositivo. NCC osserva poi che il server command and control si basa su un sistema domain generation algorithm che rende più difficile bloccare i domini da cui provengono di comandi di SharkBot.

In questi casi il suggerimento è quello di evitare di scaricare applicazioni che provengono da sviluppatori poco noti e, specie quando si tratta di antivirus, affidarsi sempre a soluzioni da parte di produttori noti e comprovati.