SharkBot Android троянски кон

Изследователите разкриха операция за атака, включваща нов троянски кон за Android на име SharkBot. Заплахата се разпространява в множество държави и географски региони. Целта на нападателите е да съберат чувствителна информация от своите жертви, като идентификационни данни за акаунт и данни за плащане. Текущите версии на SharkBot са способни да се представят и да засягат 27 целеви приложения. От тях 22 принадлежат на банки от Италия и Обединеното кралство, а 5 са приложения за криптовалутасъобщения от САЩ.

Застрашаваща функционалност

SharkBot не показва никакви припокривания със съществуващите семейства на троянски коне за мобилно банкиране и се смята, че е специално създадена заплаха, която все още е в процес на активно развитие. Той е в състояние да извършва обичайните натрапчиви действия, свързани с този тип злонамерен софтуер. Чрез използване на легитимните услуги за достъпност на Android, той може да извършва атаки с наслагване, като показва фалшиви екрани за влизане за целевите приложения и след това изсмуква въведената информация. Освен това SharkBot може да прихваща SMS съобщенията на пробитото устройство, да установява рутинни програми за кейлогинг и т.н.

Основната цел на SharkBot обаче е да инициира парични преводи на заразените устройства. Използвайки техниката на системите за автоматично прехвърляне (ATS), тя може да противодейства на няколко механизма за многофакторно удостоверяванеуспешно. ATS атаката позволява на киберпрестъпниците да извършват парични преводи чрез автоматично попълване на задължителните полета на легитимно приложение за мобилно банкиранеи след това прехвърляне на средствата на жертвата към мрежа за пари.

SharkBot също има стабилен набор от техники за анти-засичане и избягване. Той извършва множество проверки за емулатори, работещи на устройството, като същевременно скрива собствената си икона от началния екран. Комуникацията на заплахата с нейния сървър за командване и управление (C2, C&C) е криптирана със силен алгоритъм.

Разпределение

Заплахата се разпространява чрез въоръжено приложениеописания, които претендират, че предлагат полезни функции. Приложениетолицата могат да се представят като медийни плейъри, инструменти за възстановяване на данни или приложениеLications, предлагащи стрийминг и телевизионни услуги на живо. Трябва да се отбележи, че досега нито едно от приложението SharkBotлицата са успели да нарушат сигурността на Google Play Store. Вместо това, нападателите най-вероятно разчитат на приложение на трета странаплатформи за ликация, техники за странично зареждане или подвеждане на потребителите чрез различни тактики на социално инженерство.