Si tratta di SharkBot, un malware Android che prende di mira i portafogli delle vittime, più nello specifico i loro account bancari, cercando di sottrarre le credenziali per l’accesso così da svuotarne i conti.
Per infettare gli smartphone, la nuova versione del trojan utilizza due applicazioni, chiamate Mister Phone Cleaner e Kylhavy Mobile Security, ora rimosse da Play Store. Nella versione precedente il malware veniva installato automaticamente, sfruttando i permessi di accessibilità Android. In totale, sono state contate più di 60.000 installazioni. In realtà quando sono state revisionate da Google, prima di approdare sullo store, le due app non includevano alcun codice maligno. SharkBot entra in gioco successivamente durante un aggiornamento.
Come riportato nel report condiviso dai ricercatori di Check Point Research (CPR), il trojan bancario SharkBot è comparso per la prima volta nel novembre del 2021, colpendo dispositivi di ignari utenti convinti d’aver installato delle app innocue per la protezione del dispositivo Android.
Il programma maligno infatti, si sovrappone a una finestra aperta dall’utente, fingendosi un’applicazione reale, così da sottrarre credenziali di login e password. Il malware esegue poi un’operazione di keylogging, ovvero intercetta tutte le attività eseguite sulla tastiera dell’utente, arrivando anche a prendere il controllo totale del dispositivo.
Nella nuova versione, le funzionalità del malware SharkBot sono 22 e vengono azionate sul dispositivo da un Command and Control Server (CnC).
Da segnalare, poi, che l’attacco portato avanti da SharkBot è mirato all’Italia e al Regno Unito, mentre il malware è programmato per ignorare gli utenti provenienti dalla Cina, India, Romania, Russia, Ucraina e Bielorussia.
