Quest’oggi parliamo di un malware subdolo e in grado eludere i controlli di Google sta impazzando sul Play Store.

Sin dai suoi albori Android si è posto come baluardo del software open source e sistema operativo di punta del settore mobile.
Tuttavia, questa sua natura aperta si è rivelata essere un’arma a doppio taglio, in quanto la sua eccessiva frammentazione tra produttori diversi non permette alla casa madre di controllarne efficientemente lo sviluppo, né di assicurare che le ultime patch di sicurezza possano raggiungere tutti gli utenti.

Tale compito è infatti demandato al produttore singolo, che non sempre si attiene alla roadmap degli aggiornamenti tracciata da Google, preferendo troncare senza preavviso il supporto ai dispositivi più anziani, o a quelli di minor successo commerciale.

Una seconda criticità alla sua sicurezza è rappresentata dal Play Store di Google, il marketplace ufficiale dove è possibile accedere a circa quattro milioni di applicazioni che non sempre rispettano gli standard di sicurezza e i controlli effettuati dalla casa madre, ma che spesso e volentieri riescono addirittura a eluderli. Ed è proprio in quest’ultima categoria che Sharkbot si inserisce.

sharkbot malware
  1. Cos’è Sharkbot?
  2. Come agisce Sharkbot?
  3. Perché Sharkbot e le sue varianti continuano ad essere un problema serio?
  4. Alcuni consigli su come proteggere i propri dispositivi Android
  5. Conclusioni

Cos’è Sharkbot?

Scoperto per la prima volta a ottobre del 2021 dai ricercatori di Check Point Research (CPR), Sharkbot è un malware si camuffa da finta applicazione pubblicata sul Play Store di Google e che va a colpire gli ignari utenti che la scaricano nei loro dispositivi. In particolare, quelli che sono in cerca di sistemi di pulizia automatizzata, o antivirus efficienti gratuiti.
A seguito delle numerose segnalazioni ricevute sia dagli esperti di cybersecurity a livello internazionale, che dagli utenti vittime di Sharkbot, Google è intervenuta direttamente nei primi mesi del 2022, eliminando una cinquantina di applicazioni dal suo Play Store dietro cui il malware si era celato.

Tra queste ricordiamo:

  • Antivirus Super Cleaner
  • Codice Fiscale
  • Center Security Antivirus
  • Powerful Cleaner Antivirus
  • Alpha Antivirus Cleaner
  • AP Currency Converter

Queste applicazioni erano state rilasciate sul Play Store il 25 febbraio 2022 e, a seguito delle numerose segnalazioni ricevute, sono state rimosse il 9 marzo 2022, sebbene alcune loro nuove versioni abbiano fatto capolino nei giorni immediatamente successivi.

Come agisce Sharkbot?

Sharkbot appartiene alla categoria di malware che effettuano attacchi di tipo overlay, in quanto integra al suo interno delle funzionalità di:

  • Automatic Transfer Systems (ATS)
  • Domain Generation Algorithm (DGA)
  • Keylogger
  • Lettura e gestione dei messaggi

Una volta che questo viene scaricato ed eseguito dall’utente, si sovrappone ad una finestra aperta nel dispositivo e, spacciandosi per un’applicazione reale, sottrae le credenziali per il login e le password degli account connessi ad Android. A questo punto Sharkbot esegue un’operazione di keylogging, ovvero intercetta tutti gli input che l’utente esegue sulla tastiera virtuale e a poco a poco arriva a prendere il controllo completo del dispositivo.

A partire dalla versione scoperta ad agosto 2022 dai ricercatori di Fox IT, Sharkbot è stato potenziato ulteriormente, in quanto integra al suo interno diverse funzionalità molto particolari, quali:

  • Acquisizione dei cookies durante l’accesso ad un conto bancario.
  • Funzionalità di geofencing, con cui il malware può stabilire un perimetro virtuale delimitato dalla geolocalizzazione del dispositivo Android.
  • Attivazione in sordina, con cui può bypassare le normali procedure di sicurezza, quali controllo delle impronte digitali, o autenticazione mediante un token.

Non infetta i dispositivi degli utenti provenienti da:

  1. Cina
  2. India
  3. Romania
  4. Russia
  5. Ucraina
  6. Bielorussia

ma attacca senza alcuna distinzione quelli provenienti dall’Europa.

Perché Sharkbot e le sue varianti continuano ad essere un problema serio?

Nonostante gli sforzi compiuti dai ricercatori e dagli esperti di cybersecurity di tutto il mondo, il malware continua ad essere un problema serio anche oggigiorno. Questo perché, come messo in luce dal team di Google Cloud, sono state riconosciute due tattiche molto subdole adoperate dai criminali informatici per eludere le barriere protettive: tattiche ampiamente impiegate sia dalla versione 2023 di Sharkbot, che dai malware da esso derivati.

  • Versioning
    I cybercriminali rilasciano una versione non completa dell’applicazione che appare legittima e sicura ai controlli di Google.
    Tuttavia, il problema subentra nel momento in cui questa viene scaricata ed installata dall’utente, poiché l’applicazione riceve un aggiornamento immediato da un server esterno a Google.
    Questo contiene l’effettivo codice malevolo, che innesca una reazione a catena nel dispositivo e lascia l’utente completamente ignaro di quanto stia effettivamente accadendo.
  • Dynamic Code Loading (DCL)
    Si tratta di una variante perfezionata del versioning, in cui il codice malevolo non viene iniettato mediante un aggiornamento, ma giunge direttamente e in maniera automatica dal server controllato dai cybercriminali non appena l’applicazione stabilisce una connessione ad internet.
    Così facendo l’utente non si accorge nemmeno che è in corso un’infezione nel proprio dispositivo, in quanto non riceve alcuna notifica in merito, né deve autorizzare il download di alcunché.

Alcuni consigli su come proteggere i propri dispositivi Android

Alla luce di quanto discusso nei paragrafi precedenti, sono di seguito riportati alcuni consigli per proteggersi da applicazioni malevoli e possibili furti di credenziali.

  • Non affidarsi ad applicazioni di pulizia automatizzata esterni.
    I moderni smartphone e dispositivi Android escono di fabbrica con già installata una soluzione per la pulizia di file temporanei, cookies e junk di applicazioni. Questi solitamente permettono anche un’eliminazione definitiva di determinati file selezionati direttamente dall’utente.
  • Evitare antivirus gratuiti. Come al solito le soluzioni gratuite lasciano il tempo che trovano, in quanto incapaci di garantire una protezione costante ed efficace. A maggior ragione se si pensa che, a partire da Android 11, ogni produttore di smartphone e tablet integra al suo interno un centro di sicurezza ad hoc con un antivirus che viene costantemente aggiornato e monitorato. La soluzione ideale è comunque quella di dotarsi di un antivirus di tipo premium con abbonamento annuale e che integri al suo interno moduli anti-phishing, monitoraggio rete e controllo approfondito delle applicazioni.
  • Mai installare files APK acquisiti da fonti dubbie, o applicazioni provenienti da marketplace esterni al Play Store di Google. Questo perché si tratta di elementi non controllati direttamente dalla casa madre di Android, ma di pacchetti contenenti al loro interno del codice non firmato e quindi potenzialmente dannoso per il proprio dispositivo. Ad esempio, sono da evitare in toto i marketplace esterni come Aptoide, Uptodown, o ApkPure, che più di una volta si sono dimostrati autentiche fucine di malware.
  • Restare costantemente aggiornati sulle applicazioni che vengono segnalate come malevoli e pericolose.
  • Affidarsi sempre alla reputazione del produttore, controllando recensioni e media di punteggio che ciascuna sua applicazione riceve sia sul Play Store, che sui siti specializzati.
  • Eliminare manualmente e con regolarità le applicazioni non usate.

In conclusione

La nostra era è dominata dalle connessioni di rete sempre più veloci e dalla rapidissima diffusione di servizi online, che più di ogni altra cosa espongono le nostre informazioni personali a pericoli esterni. Ecco perché l’imperativo di proteggerci è una necessità essenziale, proprio perché siamo sommersi quotidianamente da valanghe di dati, documenti finanziari, foto e video personali.

La sicurezza delle nostre informazioni è diventata oggigiorno la nostra priorità numero uno, proprio perché si tratta di un bene molto prezioso, che fa gola a più di qualche malintenzionato.

Tuttavia, l’emergere di nuove tattiche subdole atte a sottrarcele anche con la forza, ci spinge a dover richiedere una maggior vigilanza non solo da parte dei colossi come Google, ma soprattutto da parte nostra: gli utenti finali. Ecco perché si deve restare costantemente informati e mostrare anche una buona dose di scetticismo nei confronti delle applicazioni che si installano nei propri dispositivi.