App antivirus false utilizzate per diffondere malware mobile Sharkbot
Sharkbot, un tipo di malware bancario, è stato scoperto sul Google Play Store e successivamente rimosso. Il malware si nascondeva in app progettate per assomigliare a soluzioni antivirus e di sicurezza mobili.
Un gruppo di ricercatori della società di sicurezza informatica Check Point ha selezionato la campagna che spingeva Sharkbot sul Google Play Store ufficiale. Secondo il team di ricerca, le false app antivirus hanno registrato circa 15mila download prima di essere rimosse.
Sharkbot sceglie le sue vittime
Il team ha avvisato Google della presenza del malware Sharkbot all'interno delle app e Google è prontamente intervenuta. Purtroppo, le app cariche di malware trascorrono abbastanza tempo nello store per accumulare prima un numero significativo di download.
Secondo Check Point, nello store erano presenti almeno sei diverse app che stavano spingendo il malware bancario Sharkbot. La cosa un po' più strana di questa campagna sono state un paio di funzionalità utilizzate dagli hacker. Da un lato, questa versione di Sharkbot utilizzava il geofencing: era configurato per evitare specificamente di infettare i dispositivi in specifiche regioni del mondo.
Dispositivi infetti principalmente nel Regno Unito e in Italia
Oltre al geofencing, Sharkbot includeva anche un algoritmo di generazione del dominio. Ciò significa effettivamente che il malware è stato in grado di generare grandi volumi di nomi di dominio, che vengono poi utilizzati per i server di comando e controllo di Sharkbot.
La maggior parte dei dispositivi su cui Sharkbot è atterrato tramite le false app antivirus si trovavano in paesi europei, in particolare Italia e Regno Unito. I dispositivi sono stati identificati attraverso i loro indirizzi IP dal team di ricerca.
Gli incidenti con i malware che scivolano silenziosamente sul Google Play Store nonostante gli sforzi per renderlo uno spazio completamente sicuro sono sempre spiacevoli. Questo non è nemmeno il primo caso del genere quest'anno. In precedenza, le app cariche di malware sono rimaste sul Play Store per circa un mese prima che Google venisse avvisato e le rimuovesse.