App presenti sul Play Store distribuiscono Sharkbot

App presenti sul Play Store distribuiscono Sharkbot

Alcune app apparentemente legittime (già rimosse dal Google Play Store) sono state utilizzate per distribuire i trojan bancari Sahrkbot e Vultur.
Alcune app apparentemente legittime (già rimosse dal Google Play Store) sono state utilizzate per distribuire i trojan bancari Sahrkbot e Vultur.

I ricercatori di ThreatFabric hanno scoperto vari dropper Android, nascosti in alcune app pubblicate sul Google Play Store, che distribuiscono i trojan bancari Sharkbot e Vultur. Tra i bersagli ci sono i principali istituti bancari italiani, tra cui Fineco, BNL e UniCredit. Le principali soluzioni di sicurezza rilevano e bloccano sia le app infette che i malware.

Attenzione all’app Codice Fiscale 2022

I ricercatori di ThreatFabric hanno rilevato i primi attacchi con Sharkbot nel mese di ottobre. I dropper sono nascosti in app apparentemente legittime che non vengono bloccate da Google, in quanto non contengono codice infetto (il payload viene scaricato successivamente all’installazione). Una di esse è Codice Fiscale 2022, scaricata oltre 10.000 volte, che prende di mira gli utenti italiani.

In base alle nuove funzionalità di sicurezza, quando un’app Android deve scaricare pacchetti aggiuntivi è obbligatorio mostrare il permesso REQUEST_INSTALL_PACKAGES. Per evitare la richiesta, l’app Codice Fiscale 2022 apre una pagina fake del Google Play Store con il pulsante Update. Se l’utente avvia l’aggiornamento fasullo, Sharkbot viene installato sullo smartphone e inizia a raccogliere diversi dati, tra cui cookie e SMS (inclusi quelli inviati per l’autenticazione in due fattori). Il trojan bancario viene distribuito anche tramite l’app File Manager Small, Lite.

Altre tre app dropper sono stati invece sfruttate per distribuire Vultur, un trojan bancario che consente lo screen streaming remoto e il furto delle credenziali di login. La tecnica è simile a quella usata per Sharkbot (pagina fasulla di update). In questo caso, il codice è stato offuscato tramite crittografia AES.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: ThreatFabric
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 30 ott 2022
Link copiato negli appunti