Molto spesso si consiglia agli utenti di Android di scaricare le applicazioni direttamente dal Play Store e di evitare gli app store di terze parti, meno sicuri: nelle scorse ore, una nuova minaccia digitale mobile ha confermato che, in realtà, occorre essere cauti anche nell’attingere all’ex Android Market del robottino verde, nuovamente scelto per un attacco hacker condotto tramite il redivivo malware SharkBot.
Tra l’Ottobre e il Novembre del 2021, gli esperti di sicurezza di Cleafy (noti per aver allertato anche sul virus TeaBot), scoprirono le prime evidenze del virus, allora ancora poco diffuso, SharkBot che, servendosi di tecniche di Automatic Transfer Systems (ATS), sostanzialmente simulava click, tocchi, pressioni umane, senza richiedere l’intervento dell’utente reale, nel trasferire il danaro della vittima verso “altri lidi”. Dopo una breve pausa, proprio SharkBot è tornato a farsi vivo.
Questa volta, a lanciare l’allarme è stato il gruppo NCC, esperto nella mitigazione dei rischi digitali, che lo ha individuato ben nascosto nell’app per Android “Antivirus, Super Cleaner” che, apparentemente, si presenta come una soluzione per scansionare il device, eliminarne i file inutili, velocizzarlo, abbassarne la temperatura, etc. In realtà, uno strato più profondo dell’app ha rivelato un livello base del malware SharkBot che, in seguito, avvia il download della versione completa di se stesso, in grado di eseguire diverse azioni malevoli (una volta acquisita l‘autorizzazione di accessibilità, impiegata anche per auto-concedersi autorizzazioni aggiuntive se del caso).
Innanzitutto, SharkBot, ogni volta che viene aperta un’app bancaria, vi soprappone un layer finto, uguale all’originale, in modo da ingannare l’utente che vi digiterà le sue credenziali di accesso. Con lo stesso scopo avvia un keylogger che annota i pulsanti cliccati, e quel che si scrive nei form, per inviare anche questi dati (raggruppati in un log) al server remoto di comando e controllo. Tra le sue capacità, figura anche il poter intercettare, leggere e nascondere gli SMS (ad es. quelli di autorizzazione usa e getta per le operazioni bancarie), e l’usare la funzione di risposta rapida alle notifiche per inoltrare comandi preimpostati da remoto (es. quelli per scaricare la versione completa del virus).
Al momento, sembra che l’app incriminata, purtroppo ancora presente sul Play Store di Google, che è stata comunque avvertita, sia poco diffusa: nel caso la si fosse installata, è bene rimuoverla o, quale cautela ancora maggiore, optare per un ripristino del device alle impostazioni di fabbrica. Anche un controllo al proprio conto corrente non sembra una cautela inutile.