Un’app dalle sembianze di un anti virus, nasconde in realtà un malware bancario pericolosissimo, che rischia seriamente di lasciare i vostri conti a zero. Dopo un nuovo avvistamento di Teabot, un banking trojan tornato a funestare gli internauti mascherandosi dietro applicazioni apparentemente lecite per spiare gli utenti e rubare le credenziali di accesso ai servizi bancari, ecco SharkBot.
Lo hanno scoperto sul PlayStore i ricercatori britannici di sicurezza informatica del gruppo NCC, a fine febbraio. E’ una versione aggiornata del trojan bancario nascosto all’interno di un’applicazione antivirus disponibile per chiunque. 
La nuova versione di SharkBot è nascosta all’interno di una falsa app antivirus, che funziona come una pillola velenosa a 3 strati. Il primo strato si maschera da antivirus mentre il secondo strato estrae una versione ridotta di SharkBot. Il malware scarica la versione più recente che vanta un’ampia gamma di funzionalità.
Play Store: quattro applicazioni e una Black List
I ricercatori del gruppo NCC hanno inoltre notato molte altre app che sfruttano anche la funzione di risposta diretta di Android per infettare altri dispositivi. Quindi, dopo FluBot, SharkBot è il secondo trojan bancario in grado di intercettare le notifiche per attacchi wormable.
L’elenco è stato naturalmente pubblicato con quattro app che vantano complessivamente qualcosa come più di 57000 download, dannosissime. La prima è Antivirus Super Cleaner, scaricata oltre 1000 volte, la seconda è Alpha Antivirus Cleaner (oltre 5.000 installazioni), la terza Atom Clean-Booster antivirus (oltre 500 installazioni), malus in fundo Powerful Cleaner antivirus (oltre 50.000 installazioni).
SharkBot è un trojan bancario ad accesso remoto scoperto per la prima volta nell’ottobre-novembre 2021 dai ricercatori di sicurezza di Cleafy. Sembrava che fosse unico, e che non avesse somiglianze o connessioni con altri malware come Xenomorph o TeaBot.
SharkBot, invece, è un malware altamente sofisticato. Come le sue controparti, ad esempio FluBot, TeaBot e Oscorp/UBEL, trojan finanziario in grado di sottrarre credenziali per trasferire denaro da dispositivi compromessi. Per eseguire il trasferimento, SharkBot è talmente potente che elude i meccanismi di MFA.
Ciò che distingue SharkBot dagli altri Trojan, come spiegato dai specialisti di NCC, è il sistema di trasferimento automatico o ATS. Questo sistema unico consente, infatti, agli aggressori di trasferire automaticamente denaro dal conto della vittima senza alcun intervento umano.
SharkBot può anche effettuare facilmente transazioni non autorizzate, attraverso il meccanismo ATS. Questo è ciò che lo rende diverso da TeaBot, in quanto richiede l’input di un operatore dal vivo per condurre attività dannose sui dispositivi infetti. “Le funzionalità ATS – spiega Alberto Segura – consentono al malware di ricevere un elenco di eventi da simulare e verranno simulati per eseguire i trasferimenti di denaro”.
Ciò significa che ATS viene utilizzato per ingannare il sistema di rilevamento delle frodi di una banca, creando una sequenza di azioni simile che un utente potrebbe altrimenti eseguire per effettuare la transazione, ad esempio clic o pressioni di pulsanti. Di questi tempi meglio fare estremamente attenzione durante un download, meglio farsi consigliare prima di scarica qualcosa di veramente dannoso.