Ο απειλητικός παράγοντας πίσω από έναν εκκολαπτόμενο banking trojan Android που ονομάζεται SharkBot κατάφερε να αποφύγει τα εμπόδια ασφαλείας του Google Play Store αφού μεταμφιέστηκε σε εφαρμογή antivirus.
Δείτε επίσης: Το δίκτυο πρατηρίων Rompetrol χτυπήθηκε από το Hive ransomware
Το SharkBot, όπως και τα αντίστοιχα κακόβουλα προγράμματα TeaBot, FluBot και Oscorp (UBEL), ανήκει σε μια κατηγορία οικονομικών trojans ικανών να συλλέγουν credentials για να ξεκινούν μεταφορές χρημάτων από παραβιασμένες συσκευές, παρακάμπτοντας μηχανισμούς ελέγχου ταυτότητας πολλαπλών παραγόντων. Το συγκεκριμένο banking trojan εμφανίστηκε για πρώτη φορά τον Νοέμβριο του 2021.
Αυτό που ξεχωρίζει το SharkBot είναι η ικανότητά του να πραγματοποιεί μη εξουσιοδοτημένες συναλλαγές μέσω Automatic Transfer Systems (ATS), κάτι που έρχεται σε αντίθεση με το TeaBot, το οποίο απαιτεί από έναν live operator να αλληλεπιδρά με τις μολυσμένες συσκευές για τη διεξαγωγή των κακόβουλων δραστηριοτήτων.
Δείτε επίσης: Η Mozilla διορθώνει δύο κρίσιμα ελαττώματα του Firefox
Με άλλα λόγια, το ATS χρησιμοποιείται για να εξαπατήσει τα συστήματα ανίχνευσης απάτης της στοχευμένης τράπεζας προσομοιώνοντας την ίδια σειρά ενεργειών που θα εκτελούσε ο χρήστης, όπως πατήματα κουμπιών, κλικ και gestures, προκειμένου να πραγματοποιηθεί η παράνομη μεταφορά χρημάτων.
Η τελευταία έκδοση που εντοπίστηκε στο Google Play Store στις 28 Φεβρουαρίου είναι μια σειρά από εφαρμογές dropper που αξιοποιούν τη λειτουργία Direct Reply του Android για να διαδοθεί σε άλλες συσκευές, καθιστώντας το το δεύτερο banking trojan μετά το FluBot που παρεμποδίζει ειδοποιήσεις για επιθέσεις με δυνατότητα wormable.
Η λίστα των κακόβουλων εφαρμογών (δείτε την παρακάτω λίστα), που όλες ενημερώθηκαν στις 10 Φεβρουαρίου, έχουν εγκατασταθεί συνολικά περίπου 57.000 φορές μέχρι σήμερα:
- Antivirus, Super Cleaner (com.abbondioendrizzi.antivirus.supercleaner) – 1,000+ εγκαταστάσεις
- Atom Clean-Booster, Antivirus (com.abbondioendrizzi.tools.supercleaner) – 500+ εγκαταστάσεις
- Alpha Antivirus, Cleaner (com.pagnotto28.sellsourcecode.alpha) – 5,000+ εγκαταστάσεις
- Powerful Cleaner, Antivirus (com.pagnotto28.sellsourcecode.supercleaner) – 50,000+ εγκαταστάσεις
Το SharkBot είναι επίσης πλούσιο σε χαρακτηριστικά, καθώς επιτρέπει στο adversary να εισάγει δόλια overlays σε επίσημες τραπεζικές εφαρμογές για να κλέψει credentials, να καταγράψει πατήματα πλήκτρων και να αποκτήσει τον πλήρη απομακρυσμένο έλεγχο των συσκευών, αλλά μόνο αφού τα θύματα του παραχωρήσουν δικαιώματα στις Accessibility Services.
Δείτε επίσης: Οι ευπάθειες Access:7 επηρεάζουν ιατρικές και IoT συσκευές
Τα ευρήματα έρχονται μια εβδομάδα αφότου ερευνητές της Cleafy αποκάλυψαν λεπτομέρειες μιας νέας παραλλαγής TeaBot που βρέθηκε στο Play Store και έχει σχεδιαστεί για να στοχεύει χρήστες περισσότερων από 400 τραπεζικών και χρηματοοικονομικών εφαρμογών, συμπεριλαμβανομένων εκείνων από τη Ρωσία, την Κίνα και τις ΗΠΑ.
Πηγή πληροφοριών: thehackernews.com
