Google ha rimosso sei diverse applicazioni Android dannose rivolte principalmente agli utenti nel Regno Unito e in Italia che sono state installate circa 15,000 volte.
I ricercatori hanno scoperto che il malware Android per il furto di informazioni Sharkbot si nascondeva insospettato nelle profondità del Google Play Store sotto la copertura di soluzioni antivirus (AV).
Durante l'analisi delle applicazioni sospette nel negozio, il team di Check Point Research (CPR) ha scoperto quelle che si presume fossero soluzioni AV autentiche per il download e l'installazione del malware, che ruba le credenziali e le informazioni bancarie dai dispositivi Android ma ha anche una serie di altre funzionalità uniche.
"Sharkbot attira le vittime a inserire le proprie credenziali in finestre che imitano moduli di immissione credenziali benigni", hanno scritto i ricercatori RCP Alex Shamsur e Raman Ladutska in un rapporto pubblicato giovedì. "Quando l'utente inserisce le credenziali in queste finestre, i dati compromessi vengono inviati a un server dannoso."
I ricercatori hanno scoperto sei diverse applicazioni, comprese quelle denominate Atom Clean-Booster, Antivirus; Super pulitore antivirus; e Center Security-Antivirus, che diffonde Sharkbot. Le app provenivano da tre account sviluppatore, Zbynek Adamcik, Adelmio Pagnotto e Bingo Like Inc., di cui almeno due erano attivi nell'autunno dello scorso anno. La sequenza temporale ha senso, come Sharkbot è arrivato per la prima volta ai ricercatori schermi radar a novembre.
"Alcune delle applicazioni collegate a questi account sono state rimosse da Google Play, ma esistono ancora nei mercati non ufficiali", hanno scritto i ricercatori. "Ciò potrebbe significare che l'attore dietro le applicazioni sta cercando di rimanere nascosto mentre è ancora coinvolto in attività dannose".
Google ha rimosso le applicazioni incriminate, ma non prima che fossero scaricate e installate circa 15,000 volte, hanno affermato i ricercatori. Gli obiettivi primari di Sharkbot sono gli utenti nel Regno Unito e in Italia, come avveniva in precedenza, hanno affermato.
Aspetti unici
I ricercatori della RCP hanno scrutato sotto il cofano di Sharkbot e hanno scoperto non solo le tipiche tattiche di furto di informazioni, ma anche alcune caratteristiche che lo distinguono dal tipico malware Android, hanno affermato i ricercatori. Include una funzione di geofencing che seleziona gli utenti in base alle aree geografiche, ignorando gli utenti provenienti da Cina, India, Romania, Russia, Ucraina o Bielorussia, hanno affermato.
Sharkbot vanta anche alcune tecniche intelligenti, hanno notato i ricercatori. "Se il malware rileva che è in esecuzione in una sandbox, interrompe l'esecuzione e si chiude", hanno scritto.
Un altro segno distintivo del malware è che fa uso di Domain Generation Algorithm (DGA), un aspetto usato raramente nel malware per la piattaforma Android, hanno affermato i ricercatori.
"Con DGA, un campione con un seme hardcoded genera sette domini a settimana", hanno scritto. "Compresi tutti i semi e gli algoritmi che abbiamo osservato, c'è un totale di 56 domini a settimana, ovvero 8 diverse combinazioni di seme/algoritmo".
I ricercatori hanno osservato 27 versioni di Sharkbot nella loro ricerca; la principale differenza tra le versioni era rappresentata dai semi DGA diversi, nonché dai diversi campi botnetID e ownerID, hanno affermato.
In tutto, Sharkbot implementa 22 comandi che consentono di eseguire varie azioni dannose sul dispositivo Android di un utente, tra cui: richiesta di autorizzazione per l'invio di messaggi SMS; disinstallazione di determinate applicazioni; invio dell'elenco dei contatti del dispositivo a un server; disabilitare l'ottimizzazione della batteria in modo che Sharkbot possa funzionare in background; e imitando lo scorrimento dell'utente sullo schermo.
Cronologia delle attività
I ricercatori hanno scoperto per la prima volta quattro applicazioni del contagocce Sharkbot su Google Play il 25 febbraio e poco dopo hanno riferito i loro risultati a Google il 3 marzo. Google ha rimosso le applicazioni il 9 marzo ma poi un altro contagocce Sharkbot è stato scoperto sei giorni dopo, il 15 marzo.
CPR ha riferito che il terzo contagocce è stato scoperto immediatamente e poi ha trovato altri due contagocce Sharkbot il 22 e 27 marzo che hanno anche segnalato rapidamente a Google per la rimozione.
I contagocce con cui Sharkbot si diffonde in sé e per sé dovrebbero destare preoccupazione, hanno affermato i ricercatori. "Come possiamo giudicare dalla funzionalità dei contagocce, le loro possibilità rappresentano chiaramente una minaccia di per sé, oltre al semplice rilascio del malware", hanno scritto nel rapporto.
In particolare, i ricercatori hanno scoperto che il contagocce Sharkbot si mascherava come le seguenti applicazioni su Google Play;
- com.abbondioendrizzi.tools[.]supercleaner
- com.abbondioendrizzi.antivirus.supercleaner
- com.pagnotto28.sellsourcecode.alpha
- com.pagnotto28.sellsourcecode.supercleaner
- com.antivirus.centersecurity.freeforall
- com.centersecurity.android.cleaner
I contagocce hanno anche alcune delle loro tattiche di evasione, come rilevare gli emulatori e smettere di fumare se ne vengono trovati, hanno osservato i ricercatori. Sono inoltre in grado di ispezionare e agire su tutti gli eventi dell'interfaccia utente del dispositivo, nonché sostituire le notifiche inviate da altre applicazioni.
"Inoltre, possono installare un APK scaricato dal CnC, che fornisce un comodo punto di partenza per diffondere il malware non appena l'utente installa tale applicazione sul dispositivo", hanno aggiunto i ricercatori.
Google Play sotto tiro
Google ha a lungo lottato con la persistenza di applicazioni dannose e il malware sul suo app store Android e ha compiuto sforzi significativi per ripulire il suo atto.
Tuttavia, l'emergere di Sharkbot travestito da soluzioni AV mostra che gli aggressori stanno diventando più subdoli nel modo in cui nascondono le loro attività dannose sulla piattaforma e potrebbero danneggiare la fiducia degli utenti in Google Play, ha osservato un professionista della sicurezza.
"Le app malware che nascondono le loro funzionalità dannose con ritardi temporali, offuscamento del codice e geofencing possono essere difficili da rilevare durante il processo di revisione delle app, ma la regolarità con cui vengono scoperte in agguato negli app store ufficiali danneggia davvero la fiducia degli utenti nella sicurezza di tutte le app su la piattaforma", ha osservato Chris Clements, vicepresidente dell'architettura delle soluzioni presso l'azienda di sicurezza Sentinella di Cerbero, in un'e-mail a Threatpost.
Con lo smartphone al centro della vita digitale delle persone e funge da fulcro delle attività finanziarie, personali e lavorative, "qualsiasi malware che comprometta la sicurezza di un dispositivo così centrale può causare danni finanziari o reputazionali significativi", ha aggiunto.
Un altro professionista della sicurezza ha esortato gli utenti Android alla cautela nel decidere se scaricare o meno un'app mobile dal negozio di un fornitore rispettabile, anche se si tratta di un marchio affidabile.
"Quando si installano app da vari negozi di tecnologia, è meglio ricercare l'app prima di scaricarla", ha osservato James McQuiggan, sostenitore della consapevolezza della sicurezza presso KnowBe4. "I criminali informatici adorano indurre gli utenti a installare app dannose con funzionalità nascoste nel tentativo di rubare dati o impossessarsi degli account".
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- sicurezza mobile
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
- zefiro
