Στα τέλη Οκτωβρίου, ερευνητές ασφαλείας της Cleafy ανακάλυψαν ένα νέο Android banking trojan, με το όνομα SharkBot, που στοχεύει τράπεζες στην Ευρώπη. Το όνομα προέρχεται από ένα από τα domains που χρησιμοποιούνται για τους command and control servers.
Δείτε επίσης: Ανησυχητική αύξηση των banking trojans τους τελευταίους μήνες
Το κακόβουλο λογισμικό είναι ενεργό τουλάχιστον από τον Οκτώβριο 2021, στοχεύοντας χρήστες mobile εφαρμογών από τράπεζες στην Ιταλία, το Ηνωμένο Βασίλειο και τις ΗΠΑ. Το trojan επιτρέπει την παραβίαση mobile συσκευών και την κλοπή χρημάτων από online banking και cryptocurrency accounts.
Μόλις το SharkBot banking Trojan μολύνει τη συσκευή του θύματος, οι χειριστές του μπορούν να κλέψουν σημαντικά τραπεζικά στοιχεία (login credentials, προσωπικές πληροφορίες, τρέχον υπόλοιπο κ.λπ.), μέσω της κατάχρησης των Accessibility Services.
Το SharkBot χρησιμοποιεί overlay attacks για να κλέψει login credentials και πληροφορίες πιστωτικών καρτών.
Το κακόβουλο λογισμικό διαθέτει πολλαπλές τεχνικές για την αποφυγή της ανίχνευσης και ανάλυσης.
Δείτε επίσης: Mekotio trojan: Συνεχίζει να εξαπλώνεται παρά τις συλλήψεις χειριστών του
“Το SharkBot ανήκει σε μια «νέα» γενιά mobile malware, καθώς είναι σε θέση να εκτελεί επιθέσεις ATS μέσα στη μολυσμένη συσκευή. Αυτή η τεχνική έχει ήδη παρατηρηθεί πρόσφατα από άλλα banking trojans, όπως το Gustuff”, αναφέρουν οι ερευνητές. “Το ATS (Automatic Transfer System) είναι μια προηγμένη τεχνική επίθεσης (αρκετά νέα στο Android) που επιτρέπει στους εισβολείς να συμπληρώνουν αυτόματα πεδία σε νόμιμες εφαρμογές mobile banking και να πραγματοποιήσουν μεταφορές χρημάτων από τις παραβιασμένες συσκευές στους λογαριασμούς των εισβολέων“.
Το Android banking trojan, SharkBot, καταχράται το Accessibility Service για να πραγματοποιήσει επιθέσεις ATS μέσα στη μολυσμένη συσκευή. Αυτή η τεχνική επιτρέπει την αυτοματοποίηση αυτών των ενεργειών, ελαχιστοποιώντας την παρέμβαση των χρηστών.
Το Trojan μπορεί να διαβάσει και να κρύψει τα SMS, μια δυνατότητα που επιτρέπει στους εισβολείς να υποκλέψουν 2FA κωδικούς, που αποστέλλονται από την τράπεζα μέσω SMS.
Δείτε επίσης: Το malware Joker έκανε comeback! Έχουν μολυνθεί 7 εφαρμογές
Οι ειδικοί δεν βρήκαν δείγματα του κακόβουλου λογισμικού στο επίσημο Google Play Store. Πιστεύουν ότι ο κακόβουλος κώδικας παραδίδεται στις συσκευές των χρηστών μέσω side-loading τεχνικών και social engineering.
Το SharkBot μπορεί να επηρεάσει τις εφαρμογές τουλάχιστον 22 τραπεζών.
“Με την ανακάλυψη του SharkBot δείχνουμε πώς τα mobile malware βρίσκουν γρήγορα νέους τρόπους για να διαπράξουν απάτες, προσπαθώντας να παρακάμψουν τα μέτρα προστασίας που έχουν τεθεί σε εφαρμογή από πολλές τράπεζες και χρηματοοικονομικές υπηρεσίες τα τελευταία χρόνια“, καταλήγει η έκθεση.
Πηγή: Security Affairs