SharkBot è un nuovo trojan Android (e botnet) in grado di accedere a varie funzionalità sui dispositivi violati per ottenere credenziali relative a piattaforme bancarie e di criptovaluta. Utenti in Italia, il Regno Unito. e il U.S.. sono stati presi di mira finora.
La minaccia di Android banking è stata rilevata alla fine di ottobre 2021 dai ricercatori Cleafy, che ha affermato di non aver scoperto alcun riferimento a famiglie di malware esistenti.
Trojan bancario per Android SharkBot: Funzionalità dannose
Come da rapporto originale, l'obiettivo principale del banchiere è avviare trasferimenti di denaro utilizzando i sistemi di trasferimento automatico (ATS) tecniche per aggirare l'autenticazione a più fattori. Bypassando questi meccanismi di sicurezza, SharkBot elude le tecniche di rilevamento necessarie per identificare trasferimenti di denaro sospetti.
Chi si rivolge? Principalmente utenti Android nel Regno Unito, gli Stati Uniti., e l'Italia, con l'elevata possibilità di altre botnet con altre configurazioni e target, che può essere abilitato dall'architettura modulare della botnet. Attualmente, grazie alle sue molteplici tecniche anti-analisi, SharkBot ha un tasso di rilevamento molto basso. Queste tecniche includono la routine di offuscamento delle stringhe, rilevamento dell'emulatore, e un algoritmo di generazione del dominio (DGA) per la sua comunicazione in rete.
Nuova generazione di malware per dispositivi mobili
Il malware utilizza anche i cosiddetti attacchi overlay per rubare le credenziali di accesso ai servizi di criptovaluta e dati della carta di credito. Questa tattica è rafforzata dalla capacità della botnet di intercettare le comunicazioni bancarie legittime inviate tramite SMS.
“SharkBot appartiene a una “nuova” generazione di malware mobile, in quanto è in grado di eseguire attacchi ATS all'interno del dispositivo infetto,”I ricercatori hanno detto. ATS, o sistema di trasferimento automatico, è una tecnica avanzata che consente agli aggressori di compilare automaticamente i campi nelle app di mobile banking legittime per avviare trasferimenti di denaro su dispositivi Android compromessi.
La tecnica rende gli attacchi altamente efficienti, dove è richiesta l'interazione minima dell'utente. Sulla base delle loro scoperte, il team di ricerca sospetta che SharkBot stia tentando di aggirare le contromisure di rilevamento comportamentale, come la biometria, che sono ampiamente utilizzati da banche e servizi finanziari. Per realizzare questo, il malware abusa dei servizi di accessibilità Android, aggirando così la necessità della cosiddetta “registrazione di nuovi dispositivi”," il rapporto disse.
L'exploit dei servizi di accessibilità dota SharkBot di tutte le funzionalità cruciali del moderno malware bancario Android, Compreso:
- Possibilità di eseguire attacchi overlay classici contro più applicazioni per rubare credenziali di accesso e informazioni sulla carta di credito;
- Possibilità di intercettare/nascondere i messaggi SMS;
- Abilitazione delle funzionalità di key-logging;
- Possibilità di ottenere il controllo remoto completo di un dispositivo Android (tramite i servizi di accessibilità).
Un fatto curioso è che il malware non è stato osservato su Google Play Store, il che significa che la sua distribuzione primaria include una combinazione delle tecniche di caricamento laterale e degli schemi di ingegneria sociale.
Altro notevole, I trojan Android rilevati di recente includono GraftHorse, Ermac, e FluBot.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: