I ricercatori di Check Point Research hanno scoperto il malware Sharkbot in alcuni antivirus Android distribuiti tramite Play Store. Le ignare vittime credevano di installare una soluzione di sicurezza, invece hanno subito il furto delle credenziali di login agli account bancari. In seguito alla segnalazione, Google ha rimosso le app dal suo store.
Sharkbot svuota il conto corrente
Gli antivirus consentono di proteggere il dispositivo contro le minacce informatiche. Quelli scoperti sul Google Play Store funzionano esattamente al contrario, ovvero installano il malware Sharkbot che ruba i dati degli account bancari. Il numero maggiore di vittime è in Italia (62%). I cybercriminali hanno inserito nel codice una funzionalità di geofencing per ignorare gli utenti di sei paesi (Cina, India, Romania, Russia, Ucraina e Bielorussia), quindi è probabile che siano originari dell’est Europa.
Le sei applicazioni (cinque antivirus e un tool di pulizia) erano state pubblicate da tre sviluppatori e scaricate circa 15.000 volte. Tutte avevano superato i controlli perché Sharkbot viene scaricato dopo l’installazione. Il malware sfruttava una tecnica poco diffusa su Android, denominata DGA (Domain Generation Algorithm), che consente di generare automaticamente nomi di dominio per evitare il blocco dei server ai quali vengono inviate le informazioni rubate.
Il malware poteva simulare specifiche azioni (ad esempio, clic e scrolling) e usare i servizi di accessibilità senza il consenso esplicito degli utenti. Sullo schermo del dispositivo veniva mostrata una finestra di login simile a quella delle app bancarie. Ovviamente le credenziali di accesso finivano nelle mani dei cybercriminali. Sharkbot può anche inviare e leggere SMS.
I ricercatori Check Point Research hanno segnalato il problema di sicurezza e Google ha rimosso le app dallo store. Il consiglio è quello di evitare antivirus pubblicati da sviluppatori sconosciuti e scegliere solo le soluzioni di aziende note.