Molti malware nascondono la loro attività dannosa dietro funzioni apparentemente utili e ora abbiamo un buon nuovo esempio di ciò. Controllo del punto di ricerca App antivirus svelate su Google Play con funzionalità altamente discutibili.
La società di sicurezza ha recentemente identificato sei app antivirus sul Google Play Store che raccoglievano segretamente dati bancari sensibili dai clienti. Le app ora dovrebbero essere rimosse dallo Store da Google.
Moduli di compilazione errati
L’antivirus apparentemente legittimo era in realtà un malware chiamato Sharkbot, già menzionato di recente da numerosi ricercatori e società di sicurezza.
Sharkbot induce le vittime a compilare dati in finestre che simulano moduli di completamento legittimo. Quando l’utente inserisce informazioni in queste finestre, i dati compromessi vengono inviati a un server dannoso, che Check Point scrive nella sua revisione.
La maggior parte delle vittime di malware si trova in Europa, principalmente nel Regno Unito e in Italia, ma potrebbero esserci vittime anche in altri paesi.
Società di sicurezza del gruppo NCC Sharkbot menzionato a marzo, dopo che Check Point ha divulgato i suoi risultati a Google. Secondo NCC, oltre alle funzionalità di cui sopra, il malware ha anche una funzione di keylogger, il che significa che può rubare dati sensibili registrando le sequenze di tasti.
Può anche intercettare i messaggi SMS e, oltre a questo, il malware è in grado di consentire agli hacker di prendere il controllo remoto dei dispositivi Android tramite servizi di accessibilità.
Oltre a diffondersi tramite applicazioni antivirus su Google Play, Sharkbot utilizza anche un altro metodo più esotico: la funzione di risposta diretta di Android.
– modo strano
I trasgressori traggono vantaggio da questa funzione facendo in modo che Sharkbot intercetta i nuovi avvisi, rispondendo automaticamente con un messaggio ricevuto dal server C2 (Command and Control). Il gruppo NCC spiega che questo messaggio contiene un collegamento per il download di software antivirus dannoso.
Sharkbot può ricevere molte istruzioni diverse dal server C2, incluso l’invio di messaggi di testo, il download di file, la disinstallazione di app e altro ancora. Cleafy società di sicurezza, Chi ha menzionato anche il dannoSharkbot è anche molto difficile da rilevare per i programmi antivirus, dice.
La divisione norvegese di Check Point afferma che le tecnologie utilizzate da Sharkbot sono molto non convenzionali.
Sharkbot ruba credenziali e informazioni bancarie. È chiaramente molto pericoloso. Questi attori delle minacce hanno scelto la posizione strategica delle app su Google Play di cui gli utenti si fidano. Sorprendentemente, gli attori minacciosi inviano messaggi alle vittime contenenti collegamenti dannosi, il che porta a un’adozione diffusa. Il direttore della tecnologia di Check Point Norvegia, Erling Schackt, ha affermato in un comunicato stampa che l’uso di messaggi push da parte di attori delle minacce che richiedono risposte agli utenti è una tattica di diffusione insolita.
Puoi trovare maggiori informazioni su Controllo del punto di ricerca E Gruppo NCC.
“Esperto di social media. Pluripremiato fanatico del caffè. Esploratore generale. Risolutore di problemi.”