C'è un virus nell'antivirus: cancellate questa app
NCC Group ha scoperto una nuova app infetta da una nuova versione di SharkBot: è un finto antivirus, che attacca i conti correnti
Un’altra app infetta ha superato indenne i controlli pre-pubblicazione sul Play Store ed stata installata da oltre mille utenti, con conseguente rischio per il conto corrente del proprietario dello smartphone. L’app in questione, un finto antivirus, conteneva infatti il malware SharkBot che, secondo i ricercatori di NCC Group , è molto pericoloso.
NCC Group e altri team di ricerca hanno riscontrato l’anno scorso un aumento della circolazione dei malware Android e, in particolare, dei trojan bancari. Cioè dei virus che, con tecniche più o meno sofisticate, riescono a rubare le credenziali di accesso ai conti correnti o alle carte di credito e poi procedono a sottrarre denaro alle vittime. SharkBot è uno di questi malware e, nell’ultimo anno, si è evoluto ed è cambiato diventando più pericoloso perché, in un certo senso, si è “automatizzato“: non serve più, cioè, che l’hacker agisca personalmente per effettuare pagamenti verso i suoi conti dal conto della vittima, fa tutto il virus in autonomia.
Quale app infetta è stata scoperta
L’app che conteneva SharkBot si chiama “Antivirus, Super Cleaner“, risultava pubblicata da “Zbynek Adamcik” ed era stata aggiornata l’ultima volta il 10 febbraio 2022, alla versione 1.5. Adesso l’app è stata rimossa da Google e non è più disponibile sul Play Store.
Come dice il nome stesso, l’app infetta si spacciava per un software antivirus che, in aggiunta, ottimizzava anche lo smartphone Android cancellando i file inutili e ripulendo la memoria.
In realtà, però, l’app preferiva ripulire i conti correnti di chi la installava sullo smartphone installando poco dopo il primo avvio anche il virus SharkBot.
SharkBot: come funziona
Come descrivono i ricercatori di NCC Group, SharkBot è un malware decisamente furbo e, per questo, assai pericoloso. In buona sostanza SharkBot si piazza in background e aspetta che l’utente apra l’app della sua banca. A questo punto SharkBot prende il controllo dello smartphone, oscura l’app legittima della banca e mostra una schermata fake che la imita.
L’utente, così, immette i dati di accesso nella schermata finta e non nell’app vera. Dati che, subito dopo, vengono poi spediti al server di Comando&Controllo del virus, che li userà per accedere al conto della vittima.
Fin qui, lo fanno anche molti altri virus, ma SharkBot può fare anche qualcosa in più: ha la capacità di ottenere il controllo completo di uno smartphone Android, se l’utente fa l’errore di concedere i permessi completi di accesso al device, e usa questa possibilità per compilare automaticamente i campi delle schermate delle app legittime delle banche, per fare i bonifici.
In pratica il virus prima mostra una schermata fake che imita l’app della banca, per sottrarre le credenziali del conto, e poi apre l’app vera e, in autonomia, interagisce con l’app per fare trasferimenti di denaro automatizzati.
SharkBot: come difendersi
Tutto ciò, come è facile capire, è molto pericoloso anche perché nulla vieta agli hacker di utilizzare le stesse tecniche anche con app diverse da quelle bancarie: i social, le chat, l’email.
La chiave di tutto questo sistema, però, è per fortuna nelle mani dell’utente: per agire indisturbato SharkBot ha bisogno che l’utente conceda i pieni permessi alla finta app antivirus.
Per questo, il consiglio è sempre lo stesso: mai concedere permessi alle app che non siano 100% sicure, che non abbiano uno sviluppatore ben noto e raggiungibile e, soprattutto, leggere bene quali sono i permessi richiesti e non concedere nulla se un’app chiede un permesso che, in teoria, non le dovrebbe servire per funzionare.
