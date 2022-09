I social servono. Quando utilizzati per dare notizie e non per formare inutili haters. Da Twitter un’importante notizia su un nuovo malware che sta funestando Android. Nuovo si fa per dire. Il ritorno al futuro non è affatto un bel film. Tutt’altro.

Albert Segura, un noto malware analyst, ha rivelato “la scoperta di una nuova versione di #SharkbotDropper in Google Play, utilizzata per scaricare e installare #Sharkbot”. Tutto grazie a una campagna rivolta al Regno Unito.

SharkBot è un trojan bancario che torna a far parlare di sé, sul Play Store di Google, con una versione, nuova e aggiornata: sta prendendo di mira gli accessi bancari degli utenti Android tramite app che hanno decine di migliaia di installazioni. Il malware era presente in due app Android che non presentavano alcun codice dannoso quando inviate alla revisione automatica di Google.

Non scaricate nessuna di queste applicazioni

Tuttavia, SharkBot viene aggiunto in un aggiornamento che si verifica dopo che l’utente ha installato alcune app. Secondo un post sul blog di Fox IT, parte del gruppo NCC, le due app dannose sono “Mister Phone Cleaner” e “Kylhavy Mobile Security”, che contano collettivamente 60.000 installazioni.

Vero è che le due applicazioni sono state rimosse dal Google Play, ma, fanno rivelare gli esperti, gli utenti che le hanno installate sono ancora a rischio e dovrebbero rimuoverle manualmente.

Gli analisti di malware di Cleafy, una società nostrana specializzata sulla gestione e prevenzione delle frodi online, avevano scoperto SharkBot già nell’ottobre 2021. Cinque mesi dopo, circa, è stato NCC Group a trovare le prime app, dannose, che lo trasportano su Google Play.

Prima SharkBot poteva eseguire attacchi overlay, rubare dati tramite keylogging, intercettare messaggi SMS o fornire agli attori delle minacce il controllo remoto completo del dispositivo host abusando dei servizi di accessibilità. Ora si è evoluto. E sa fare ancora più male di prima.

Lo scorso maggio, infatti, i ricercatori di ThreatFabric hanno individuato SharkBot 2: è dotato di un algoritmo di generazione del dominio (DGA), un protocollo di comunicazione aggiornato e un codice completamente rifattorizzato.

I ricercatori di Fox IT hanno scoperto una nuova versione del malware (2.25) il 22 agosto, che aggiunge alle già funeste caratteristiche dannose, anche la la capacità di rubare i cookie dagli accessi ai conti bancari.

“Abusando dei permessi di accessibilità – spiegano i ricercatori di Fox IT – il contagocce è stato in grado di fare clic automaticamente su tutti i pulsanti mostrati nell’interfaccia utente per installare Sharkbot. Ma questo non è il caso in questa nuova versione”. Meglio intanto non scaricare nessuna di quelle applicazioni.

