Non solo phishing e trappole informatiche per appropriarsi indebitamente del nostro denaro attraverso email o sms fraudolenti. Torna la paura dei virus, dei cosiddetti malaware, o trojan, che possono distruggere tutti i nostri dati.
La poco edificante scoperta arriva dagli Usa. Il team di NCC Group, così come molti altri ricercatori, hanno notato un aumento dei malware Android lo scorso anno, in particolare il malware bancario Android.
All’interno del team di Threat Intelligence di NCC Group, si sta esaminando da vicino molte di queste “famiglie” di malware per fornire preziose informazioni agli utenti su queste minacce. Oltre al più popolare malware bancario Android, il team di Threat Intelligence di NCC Group sta osservando anche le nuove tendenze e le nuove famiglie di temibili virus che emergono e potrebbero essere potenziali minacce per gli utenti di tutto il mondo.
Una di queste famiglie “più recenti” è un malware bancario Android chiamato SharkBot. Durante la ricerca è stato notato che questo malware è stato distribuito tramite il Play Store ufficiale di Google. Dopo la scoperta, è stato immediatamente informato Google e si è deciso di condividere le conoscenze tramite un post sul blog dell’azienda.
Il team di Threat Intelligence di NCC Group, in questi mesi, sta continuando l’analisi di SharkBot ed ha effettuato importanti nuove scoperte su virus che colpiscono computer e cellulari.
Il nuovo virus android bancario che spaventa il mondo
SharkBot è un malware bancario Android trovato alla fine di ottobre 2021 dal Cleafy Threat Intelligence Team. Al momento in cui scriviamo, il malware SharkBot non sembra avere alcuna relazione con altri malware bancari Android come Flubot, Cerberus/Alien, Anatsa/Teabot, Oscorp, ecc.
L’obiettivo principale di SharkBot è avviare trasferimenti di denaro (da dispositivi compromessi) tramite Automatic Transfer Systems (ATS). Per quanto abbiamo osservato, questa tecnica è una tecnica di attacco avanzata che non viene utilizzata regolarmente all’interno del malware Android.
Consente agli avversari di compilare automaticamente i campi in app di mobile banking legittime e avviare trasferimenti di denaro. Mentre altri malware bancari Android, come Anatsa/Teabot o Oscorp, richiedono un operatore live per inserire e autorizzare i trasferimenti di denaro.
A causa del fatto che sono distribuiti tramite il Google Play Store come un falso antivirus, si è scoperto che devono includere l’utilizzo di dispositivi infetti per diffondere l’app dannosa. SharkBot ottiene questo abusando della funzione Android “Risposta diretta”.
Questa funzione viene utilizzata per inviare automaticamente una notifica di risposta con un messaggio per scaricare l’app antivirus falsa. Questa strategia di diffusione che abusa della funzione Direct Reply è stata vista di recente in un altro malware bancario chiamato Flubot.
