Gruppo TIM
Gruppo TIM

SharkBot: il trojan che ruba conti bancari e criptovalute

Alcuni ricercatori di sicurezza informatica di Cleafy hanno svelato un nuovo trojan Android che sfrutta le funzionalità di accessibilità sui dispositivi mobili per sottrarre credenziali dai servizi bancari e di criptovalute in Italia, Regno Unito e Stati Uniti.

 

Cos’è SharkBot?

Soprannominato “SharkBot” da Cleafy, il malware è progettato per colpire un totale di 27 obiettivi, contando 22 banche internazionali in Italia e nel Regno Unito e cinque app di criptovaluta negli Stati Uniti, almeno dalla fine di ottobre 2021, e si ritiene che sia nelle sue prime fasi di sviluppo, senza sovrapposizioni riscontrate con quella di famiglie conosciute.

Secondo i ricercatori, l’obiettivo principale di SharkBot è avviare trasferimenti di denaro dai dispositivi compromessi tramite la tecnica dei sistemi di trasferimento automatico (ATS) bypassando i meccanismi di autenticazione a più fattori.

 

Come funziona?

Una volta installato con successo SharkBot nel dispositivo della vittima, gli aggressori possono ottenere informazioni bancarie sensibili attraverso l’abuso dei servizi di accessibilità come credenziali, informazioni personali, saldo corrente ecc., ma anche per eseguire gesti sul dispositivo infetto.

Travestito da lettore multimediale, TV streaming o app di recupero dati, SharkBot, come le altre sue controparti malware TeaBot e UBEL, tramite pop-up “canaglia” richiede ripetutamente agli utenti di concedergli ampi permessi al fine di rubare informazioni sensibili.

Ciò che si distingue è lo sfruttamento delle impostazioni di accessibilità per eseguire attacchi ATS, che consentono agli operatori di compilare automaticamente i campi in app di mobile banking legittime e avviare trasferimenti di denaro dai dispositivi compromessi a una rete di money mule controllata dal threat actor.

Il modus operandi ovvia efficacemente alla necessità di registrare un nuovo dispositivo per svolgere attività fraudolente, aggirando anche i meccanismi di autenticazione a due fattori attuati dalle applicazioni bancarie.

Inoltre, il malware viene fornito con diverse funzionalità ora osservate in tutti i trojan bancari Android, come la possibilità di eseguire attacchi overlay per rubare le credenziali di accesso e le informazioni sulla carta di credito, intercettare le comunicazioni bancarie legittime inviate tramite SMS, abilitare il keylogging e ottenere il controllo remoto completo dei dispositivi compromessi.

 

Cosa rende unico SharkBot

SharkBot si distingue per i passaggi necessari ad eludere l’analisi e il rilevamento, inclusi l’esecuzione dei controlli dell’emulatore, la crittografia delle comunicazioni di comando e controllo con un server remoto e il nascondere l’icona dell’app dalla schermata iniziale dopo l’installazione.

Nessun campione del malware è stato rilevato sul Google Play Store ufficiale, il che implica che le app dannose sono installate sui dispositivi degli utenti tramite sideload o schemi di social engineering.

Come hanno affermato i ricercatori, la scoperta di SharkBot “liberi” mostra come i mobile malware stiano rapidamente trovando nuovi modi per eseguire frodi, cercando di aggirare le contromisure di rilevamento comportamentale messe in atto da più banche e servizi finanziari negli ultimi anni.