I ricercatori di ThreatFabric hanno scoperto vari dropper Android, nascosti in alcune app pubblicate sul Google Play Store, che distribuiscono i trojan bancari Sharkbot e Vultur. Tra i bersagli ci sono i principali istituti bancari italiani, tra cui Fineco, BNL e UniCredit. Le principali soluzioni di sicurezza rilevano e bloccano sia le app infette che i malware.
Attenzione all’app Codice Fiscale 2022
I ricercatori di ThreatFabric hanno rilevato i primi attacchi con Sharkbot nel mese di ottobre. I dropper sono nascosti in app apparentemente legittime che non vengono bloccate da Google, in quanto non contengono codice infetto (il payload viene scaricato successivamente all’installazione). Una di esse è Codice Fiscale 2022, scaricata oltre 10.000 volte, che prende di mira gli utenti italiani.
In base alle nuove funzionalità di sicurezza, quando un’app Android deve scaricare pacchetti aggiuntivi è obbligatorio mostrare il permesso REQUEST_INSTALL_PACKAGES
. Per evitare la richiesta, l’app Codice Fiscale 2022 apre una pagina fake del Google Play Store con il pulsante Update. Se l’utente avvia l’aggiornamento fasullo, Sharkbot viene installato sullo smartphone e inizia a raccogliere diversi dati, tra cui cookie e SMS (inclusi quelli inviati per l’autenticazione in due fattori). Il trojan bancario viene distribuito anche tramite l’app File Manager Small, Lite.
Altre tre app dropper sono stati invece sfruttate per distribuire Vultur, un trojan bancario che consente lo screen streaming remoto e il furto delle credenziali di login. La tecnica è simile a quella usata per Sharkbot (pagina fasulla di update). In questo caso, il codice è stato offuscato tramite crittografia AES.