Malware-ul SharkBot revine pe Google Play
O nouă versiune actualizată a malware-ului SharkBot revine pe platforma Google Play, aceasta vizând aplicațiile bancare instalate pe platformele Android. Malware-ul a fost identificat în cadrul a două aplicații pentru Android, care, atunci când au fost examinate, nu prezentau nici o urmă de cod malițios. Cu toate acestea, malware-ul SharkBot este instalat ulterior în cadrul unei actualizări a aplicației.
Potrivit unei postări a companiei Fox IT, cele două aplicații malițioase sunt Mister Phone Cleaner și Kylhavy Mobile Security, care împreună au fost instalate de peste 60.000 de ori. Cele două aplicații au fost eliminate de pe platforma Google Play, dar utilizatorii care le-au instalat deja sunt încă expuși.
SharkBot a fost descoperit pentru prima oară în octombrie 2021, iar în martie 2022 a fost identificată prima aplicație de tip dropper (infectată). La acel moment, malware-ul avea capacitatea de a lansa atacuri de tip overlay, keylogger, intercepta mesajele SMS sau oferi atacatorilor controlul complet asupra dispozitivelor infectate prin abuzarea serviciilor de accesibilitate.
În mai 2022, cercetătorii de la ThreatFabric au identificat o altă variantă a SharkBot care a venit cu un algoritm de generare a domeniului (DGA) și un protocol de comunicare actualizat. În data de 22 august cercetătorii de la Fox IT au descoperit o nouă variantă a malware-ului (2.25), care adaugă capacitatea de a fura cookie-urile din cadrul conexiunilor conturilor bancare. În plus, noile aplicații de tip dropper nu abuzează de serviciile de accesibilitate așa cum făceau înainte.
După ce este instalată, aplicația dropper se va conecta la serverul de comandă și control (C2) solicitând fișierul APK al malware-ului. Aplicația va alerta ulterior utilizatorul că există o actualizare disponibilă și va solicita instalarea acesteia, oferind fișierului APK toate permisiunile necesare. Pentru a fi și mai greu de detectat, codul SharkBot este criptat cu algoritmul RC4.
Pe lângă capacitățile anterioare, versiunea 2.25 a SharkBot are integrată și un cookie logger, care, atunci când contul victimei se va conecta la contul bancar, malware-ul va fura cookie-ul sesiunii și îl va trimite către serverul C2. Cookie-urile sunt valoroase pentru preluarea conturilor deoarece conțin anumiți parametri care ajută la ocolirea măsurilor de securitate implementate sau, în unele cazuri, a token-ului de autentificare a utilizatorilor.
Au fost identificate campanii active în Spania, Austria, Germania și Polonia.
Sursa: https://www.bleepingcomputer.com/news/security/sharkbot-malware-sneaks-back-on-google-play-to-steal-your-logins/
