Dopo gli ultimi avvistamenti in primavera, in quota sicurezza digitale si è tornati a parlare di un malware tristemente noto agli utenti Android, Sharkbot, di cui è stata appena avvistata una nuova e pericolosa variante, che mette nel mirino istituti bancari ed exchange di criptovalute, riuscendo financo ad aggirare i meccanismi di autenticazione biometrica.
A dare l’allarme sulla minaccia della nuova emanazione di Sharkbot sono stati, tramite i rispettivi account Twitter, gli esperti di sicurezza Alberto Segura e Mike Stokkel: secondo quanto appurato, il rigenerato virus è staro riscontrato a partire dal 22 Agosto, in due applicazioni, Mister Phone Cleaner e Kylhavy Mobile Security, che hanno ottenendo poi anche molti download (rispettivamente 50mila e 10mila scaricamenti), prima che Google, avvertita in merito, li rimuovesse dal Play Store, in cui erano riuscite a farsi pubblicare, aggirandone i controlli preliminare condotti via Play Protect (introdotto con Android Oreo).
Nello specifico, nella prima versione di Sharkbot, l’app untrice richiedeva i servizi di accessibilità e, poi, scaricava autonomamente come payload il virus vero e proprio (quindi non presente in origine nell’app, che di conseguenza poteva superare i controlli e farsi pubblicare) mentre, nella nuova emanazione del malware, gli hacker chiedono all’utente di aggiornare l’applicazione scelta, come nel caso del finto antivirus, per tenerlo al sicuro dalle minacce.
Tra i danni che il nuovo Sharkbot è in grado di eseguire, figura l’assicurare il controllo remoto del device, l’usare il keylogging per annotare tutto quel che si digita, il leggere i messaggi SMS e il condurre attacchi sovrapponendo livelli fittizi alle pagine di autenticazione (overlay). Un’altra novità è che tale virus è capace di sottrarre i cookies validi di sessione, avvalendosi del comando “logsCook” che in pratica permette d’aggirare qualsiasi sistema di autenticazione biometrico usato dall’utente (impronte, viso, etc).
L’attacco in questione prende di mira 22 obiettivi, comprese banche in Italia, UK, e Regno Unito, senza trascurare ben 5 exchange (piattaforme di scambio) di criptovaluta: una volta compromesso i device, spiega l’azienda di sicurezza italiana Cleafy, l’obiettivo è di spostare danaro da tal device colpito, sfruttando la procedura dell’ATS, trasferimento automatico, che permette di aggirare l’autenticazione a più fattori.