Cosa sapere su SharkBot, il malware bancario che imperversa in Italia

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

SharkBot è un nuovo malware bancario che imperversa su Android. A scoprirlo sono stati i ricercatori del laboratorio di sicurezza italiano Cleafy, che ha pubblicato i risultati di un’indagine condotta su un nuovo virus capace di superare le più moderne soluzioni a protezione dei conti bancari, svuotando i conti correnti delle vittime. La diffusione di SharkBot è attestata in Italia, Inghilterra e Stati Uniti.

Siete pronti per scoprire tutto quello che dovete sapere su SharkBot?

Che cos'è SharkBot

Un malware bancario è un tipo di virus specializzato nel furto di credenziali bancarie. Appartengono quasi tutti alla categoria dei trojan, ossia dei programmi maligni che si procurano il biglietto d’ingresso nel dispositivo della vittima “mascherandosi” da applicazione legittima. Una volta che il virus è riuscito a entrare, tempesta l’utente di notifiche fino a che non gli concede i permessi necessari per mettere in atto il proprio piano, poi procede con l’eliminazione delle prove (messaggi, avvisi in-app) affinché l’utente si accorga il più tardi possibile che il proprio smartphone è stato contagiato e il proprio conto svuotato.

Come SharkBot attacca gli smartphone degli utenti

SharkBot è un malware anomalo. Innanzitutto perché si tratta di un malware modulare (ossia, che procede “a blocchi”) attivo anche in Italia, dove abitualmente imperversano i ransomware; secondariamente perché, nonostante la sua potenziale aggressività, SharkBot sembrerebbe essere ancora in fase di sviluppo, come dimostrano le indicazioni rintracciate dagli sviluppatori all’interno delle versioni del malware analizzate verso la fine di ottobre.

Le tre “maschere” che SharkBot usa per entrare nei dispositivi degli utenti

SharkBot fa parte della “nuova generazione di malware” che utilizzano la tecnica dell’Automatic Transfer Systems (ATS) per derubare l’utente dei propri soldi. Il funzionamento è molto semplice: innanzitutto il malware attende che l’utente effettui l’installazione del file infetto sul dispositivo, normalmente sotto forma di tre applicazioni fasulle chiamate Live Net TV, UltData_Recovery e Media Player HD. Tutti questi file sono rintracciabili solo su siti di terze parti; finora non è ancora stata individuata un’app caricata sul Play Store contenente il malware.

Una volta che queste app sono state installate, SharkBot tempesta l’utente di notifiche invadenti fino a che non gli saranno concessi i permessi di Accessibilità – i più pericolosi da concedere a un malware, in quanto consentono di effettuare azioni sul dispositivo senza che l’utente debba effettivamente interagirvi. Nati per aiutare gli utenti con disabilità e dunque inabili all’uso del touchscreen, i permessi di Accessibilità sono la preda più ghiotta per un virus.

Qualora dovesse accadere che SharkBot ottenga effettivamente questi permessi, l’utente incontrerà serie difficoltà nel mantenere i propri soldi al sicuro. Grazie ai permessi di Accessibilità, SharkBot può prendere controllo remoto del telefono, ma anche effettuare attività di key-logging, ossia di tracciamento delle digitazioni sulla tastiera virtuale del device – un ottimo metodo per rubare le credenziali di accesso ai conti correnti. Addirittura sarebbe capace di performare delle “gestures”.

Come funzionano le tecniche di attacco ATS

Non solo: il malware nasconderà gli SMS di avviso di avvenuti trasferimenti di denaro/pagamenti. La sua abilità più terrificante è tuttavia l’uso della tecnica ATS, in grado di superare le difese poste dalle più moderne tecnologie di analisi comportamentale e dall’autenticazione multi-dispositivo, appoggiandosi all’utente, inconsapevole dell’attacco in corso. Nel momento infatti in cui un utente effettua un pagamento, SharkBot provvede a sostituire all’ultimo secondo le credenziali del legittimo destinatario del denaro con le credenziali di un conto intestato agli sviluppatori del malware, che derubano agilmente la vittima senza che abbia l’opportunità di accorgersene.

Come difendersi da SharkBot

SharkBot è un malware estremamente difficile da individuare, anche per gli stessi antivirus: tecnologie DGA e un costante offuscamento del codice, insieme a un livello di programmazione tale che lascia intuire che il malware sia stato sviluppato da zero, portano SharkBot a disporre di un invidiabile tasso di identificazione da parte degli antivirus estremamente basso.

La mappa degli avvistamenti in attività di SharkBot

Va detto tuttavia che il malware non è per ora stato rintracciato sul Play Store, benché si ritenga che si tratti di una conseguenza del suo stato di “testing”, attivo principalmente in una botnet privata. Secondo i ricercatori, SharkBot prende di mira otto applicazioni di istituti bancari e di servizi di pagamento in Italia, più altri 16 negli Stati Uniti e nel Regno Unito.

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//