SharkBot Trojan Bancario Android: Una Nuova Era di Attacchi ATS su Mobile

SharkBot, scoperto nell’ottobre 2021 dal team di Threat Intelligence di Cleafy, è un trojan bancario Android avanzato che prende di mira banche e servizi di criptovalute nel Regno Unito, in Italia e negli Stati Uniti. Questo malware rappresenta una nuova generazione di minacce mobile con capacità innovative, in particolare sfruttando gli attacchi Automatic Transfer System (ATS). Questi attacchi aggirano i tradizionali meccanismi di autenticazione, consentendo agli aggressori di amplificare le attività fraudolente senza interazione diretta dell’utente.

Data 2024-12-06 15:28:40
Informazioni Trending

Riassunto tecnico

SharkBot utilizza i Servizi di Accessibilità di Android per eseguire le sue attività dannose, tra cui:

  • Attacchi ATS: Compilazione automatica dei campi nelle app bancarie legittime per effettuare trasferimenti di denaro non autorizzati.
  • Attacchi Overlay: Imitazione delle schermate di login delle app per rubare credenziali e dati delle carte di credito.
  • Keylogging: Monitoraggio e registrazione degli input sensibili degli utenti.
  • Intercettazione SMS: Cattura dei codici di autenticazione a due fattori basati su SMS.
  • Controllo remoto completo: Simulazione di gesti e clic per manipolare il dispositivo.

Funzionalità e Tecniche Chiave:

  1. Evasione dell’Analisi:

    • Offuscamento delle stringhe per nascondere comandi e dettagli C2.
    • Rilevamento di emulatori per bypassare i sandbox.
    • Comunicazioni criptate tramite codifica Base64 e un algoritmo di generazione dei domini (DGA).

  2. Abuso Avanzato dei Permessi:

    • Sfrutta REQUEST_IGNORE_BATTERY_OPTIMIZATIONS per mantenere la connessione con i server C2.
    • Utilizza i Servizi di Accessibilità per manipolare le impostazioni ed evitare la disinstallazione.

  3. Progettazione Modulare:

    • Scarica da C2 un file esterno .jar contenente le funzionalità ATS.

Indicatori di Compromissione (IOC):

  • Nomi App: Media Player HD.
  • Nome del Pacchetto: com.pycdvgljmfgh3hgp8jo72giu.omflsx1q2g.
  • Domini C2: sharkedtest1[.]xyz, sharkedtestuk[.]xyz.
  • Hash MD5: f7dfd4eb1b1c6ba338d56761b3975618.

Raccomandazioni

Per le Organizzazioni (Banche, Piattaforme Crypto):

  1. Analisi Comportamentale: Implementare meccanismi avanzati di rilevamento per identificare anomalie nelle azioni degli utenti (es. attacchi ATS).
  2. Politiche Zero Trust: Trattare tutte le transazioni, anche da dispositivi affidabili, con attenzione aggiuntiva.
  3. Monitoraggio e Avvisi: Monitorare attivamente overlay e eventi di accessibilità imprevisti nelle proprie app.
  4. Campagne di Sensibilizzazione: Educare gli utenti sulle minacce emergenti come SharkBot e sui rischi derivanti dalla concessione di permessi eccessivi.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In