Sharkbot è un virus che ruba informazioni e viene utilizzato dai criminali per sottrarre credenziali e informazioni bancarie. Il codice dannoso implementa tecniche avanzate e utilizza una funzione di geofencing per evitare di infettare dispositivi provenienti da Cina, India, Romania, Russia, Ucraina e Bielorussia.
Il trojan bancario utilizza Domain Generation Algorithm (DGA), usato raramente dal malware Android. Una volta installato sul dispositivo della vittima, Sharkbot induce le vittime a inserire le proprie credenziali in finestre che sembrano comuni moduli di input.
Il malware è anche in grado di verificare se è in esecuzione in una sandbox per evitare che venga analizzato dai ricercatori.
“Nel Google Play Store, abbiamo individuato un totale di sei diverse applicazioni che stavano diffondendo Sharkbot“. legge l’analisi pubblicata dagli esperti.
“Queste sei applicazioni provenivano da tre account sviluppatore, Zbynek Adamcik, Adelmio Pagnotto e Bingo Like Inc. Quando abbiamo controllato la cronologia di questi account, abbiamo visto che due di loro erano attivi nell’autunno del 2021. Alcune delle applicazioni collegate a questi gli account sono stati rimossi da Google Play, ma esistono ancora nei mercati non ufficiali.
Ciò potrebbe significare che l’attore dietro le applicazioni sta cercando di rimanere nascosto mentre è ancora coinvolto in “attività dannose“.
Come funziona il virus
Le app dannose sono state scaricate più di 15.000 volte prima che Google le rimuovesse da Google Play. La maggior parte delle vittime si trova in Italia e nel Regno Unito.
Come altri trojan bancari per Android, SharkBot sfrutta il servizio di accessibilità di Android per visualizzare finestre sovrapposte false su app bancarie legittime.
Una delle caratteristiche di SharkBot descritte in dettaglio dagli esperti è la sua capacità di rispondere automaticamente alle notifiche di Facebook Messenger e WhatsApp per diffondere collegamenti alle false app antivirus.
“Nel cybermondo contemporaneo in continua evoluzione, nulla dovrebbe essere dato per scontato. Questo è esattamente il caso che abbiamo osservato con il malware Sharkbot“. conclude la relazione. “In questo schema di diffusione, il malware stesso non viene caricato su Google Play, ma piuttosto si maschera da software legittimo“.