Il virus SharkBot è tornato in Italia: attacca il conto online
Dopo gli attacchi di primavera, ora il malware bancario SharkBot è tornato in Italia con una nuova versione ancora più pericolosa: attacca il conto scavalcando l'impronta digitale
Lo avevamo già conosciuto a marzo 2022, quando fu trovato all’interno di una finta app antivirus chiamata “Antivirus, Super Cleaner“, ora lo ritroviamo in altre due applicazioni chiamate “Mister Phone Cleaner” e Kylhavy Mobile Security“: stiamo parlando di SharkBot, un malware bancario in grado di rubare le credenziali delle app per i conti correnti online.
I ricercatori di NCC Group lo hanno nuovamente intercettato e, soprattutto, hanno scoperto che è in corso una campagna di attacco ai conti correnti italiani e a quelli del Regno Unito. In più, rispetto alla versione che circolava a marzo, quella che sta circolando adesso è persino più pericolosa perché riesce a scavalcare l’autenticazione biometrica con l’impronta digitale.
Come funziona SharkBot
SharkBot, tecnicamente, è uno spyware che, a partire dalla nuova versione 2.25, ha moltissime funzioni in grado di spiarci mentre usiamo lo smartphone.
La prima cosa che fa SharkBot è rubare i cookies dal browser, cioè quei piccoli file di testo dove vengono archiviate le informazioni sui siti che visitiamo. Poiché molto spesso tra questi siti c’è anche quello della banca online, è chiaro il motivo per il quale SharkBot vada a cercare i cookies.
SharkBot, poi, ha la capacità di capire quando abbiamo aperto un’app bancaria e di sostituire la schermata mostrata da tale app all’utente con una finta, tramite la quale chiede di inserire nome utente e password. Naturalmente lo fa per rubare questi dati e inviarli al suo server di comando e controllo.
Una volta che i dati di accesso sono stati rubati, è possibile accedere al conto corrente dell’utente per fare bonifici e sottrarre denaro a sua insaputa.
L’impronta digitale non basta
La maggior parte delle app bancarie sono oggi protette dall’autenticazione biometrica, solitamente tramite impronta digitale. SharkBot lo sa e ha trovato il modo di superare questa protezione. Per farlo usa la tecnica dell’Automatic Transfer System (ATS), tramite la quale impedisce all’app di chiedere l’impronta e la obbliga a richiedere nome utente e password.
In questo modo l’utente, per proseguire, è costretto a inserire manualmente i dati consegnandoli, di fatto, agli hacker che li useranno poco dopo per accedere al suo conto corrente online.
Come difendersi da SharkBot
I ricercatori di NCC Group hanno scovato due app infette con SharkBot: “Mister Phone Cleaner” e Kylhavy Mobile Security“. Erano entrambe pubblicate sul Play Store ufficiale di Google e adesso sono state rimosse, ma avevano già collezionato rispettivamente 10 mila e 50 mila download.
Le stesse app sono ancora presenti su altri app store alternativi e, chiaramente, non vanno installate per nessun motivo. Nel loro codice ci sono delle opzioni che attivano il virus solo se l’utente è in Italia e nel Regno Unito, segno evidente di una campagna in corso contro il nostr Paese e contro i sudditi di Sua Maestà.
La prima forma di difesa da SharkBot, quindi, consiste nell’evitare queste due app e nel tenere gli occhi ben aperti, perché certamente di app infette ce ne saranno altre ancora da scoprire.
Se il virus è “entrato“, però, è molto difficile riconoscerlo visto che può imitare le app bancarie legittime. Per questo è consigliabile usare un buon antivirus per Android, in grado di bloccare SharkBot prima che venga scaricato sullo smartphone.