Il malware SharkBot colpisce i dispositivi Italiani e del Regno Unito

Gli analisti di Check Point hanno scoperto che il malware SharkBot per Android si è fatto nuovamente strada nel Google Play Store, mascherandosi da app antivirus. 

Questa volta, il malware è stato distribuito attraverso tre account sviluppatore (Zbynek Adamcik, Adelmio Pagnotto e Bingo Like Inc), due dei quali erano attivi nell’autunno del 2021.

SharkBot è stato precedentemente segnalato dagli esperti di NCC Group in precedenza i quali hanno affermato che il malware di solito si maschera da antivirus, in realtà rubando denaro agli utenti che hanno installato l’applicazione. 

SharkBot, come le sue controparti TeaBot, FluBot e Oscorp (UBEL), appartiene alla categoria dei trojan bancari. Tali Trojan sono in grado di sottrarre credenziali da dispositivi hackerati e aggirare i meccanismi di autenticazione a più fattori. Il malware è apparso per la prima volta sulla scena nell’autunno del 2021.

Il rapporto del gruppo NCC ha sottolineato che il segno distintivo di SharkBot è la sua capacità di eseguire transazioni non autorizzate tramite sistemi Automatic Transfer System (ATS). Questo lo distingue da TeaBot, che richiede ai dispositivi infetti di eseguire azioni dannose interagendo però con l’operatore.

Ora, gli specialisti di Check Point hanno integrato l’analisi di NCC Group con dei nuovi dati. Scrivono che il malware, visto di nuovo nel Google Play Store, non infetta utenti provenienti da Cina, India, Romania, Russia, Ucraina e Bielorussia. 

Allo stesso tempo, sei applicazioni dannose trovate dai ricercatori sono state installate più di 15.000 volte prima di essere rimosse e la maggior parte delle vittime si trovava in Italia e nel Regno Unito.

Hanno anche notato che SharkBot ha un meccanismo di auto-propagazione molto insolito: è in grado di rispondere automaticamente alle notifiche di Facebook Messenger e WhatsApp, distribuendo tra i contatti della vittima link dannosi alle false applicazioni antivirus.

Separatamente, si nota che il malware utilizza un DGA (Domain generation algorithm) per comunicare con i suoi server di comando e controllo, cosa piuttosto rara per i malware per Android.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.