Threat Database Banking Trojan SharkBot Android Trojan

SharkBot Android Trojan

En angrebsoperation, der involverer en ny Android-trojaner ved navn SharkBot, er blevet afsløret af forskerne. Truslen bliver implementeret på tværs af flere lande og geografiske regioner. Målet med angriberne er at indsamle følsomme oplysninger fra deres ofre, såsom kontooplysninger og betalingsoplysninger. De nuværende versioner af SharkBot er i stand til at efterligne og påvirke 27 målrettede applikationer. Ud af dem tilhører 22 banker fra Italien og Storbritannien, mens 5 er cryptocurrency applicationer fra USA.

Truende funktionalitet

SharkBot udviser ingen overlapninger med de eksisterende trojanske familier til mobilbanker og menes at være en specialbygget trussel, der stadig er under aktiv udvikling. Den er i stand til at udføre de sædvanlige påtrængende handlinger forbundet med denne malwaretype. Ved at udnytte de legitime Android Accessibility-tjenester kan den udføre overlejringsangreb ved at vise falske login-skærme for de målrettede apps og derefter suge de indtastede oplysninger. Derudover kan SharkBot opsnappe SMS-beskederne på den brudte enhed, etablere keylogging-rutiner osv.

Hovedmålet med SharkBot er dog at igangsætte pengeoverførsler på de inficerede enheder. Ved at anvende en Automatic Transfer Systems (ATS) teknik kan den imødegå flere multi-faktor autentificeringsmekanismersuccesfuldt. ATS-angrebet gør det muligt for cyberkriminelle at foretage pengeoverførsler ved automatisk at udfylde de påkrævede felter i en legitim mobilbankappog derefter forbinde ofrets midler til et muldyrnetværk.

SharkBot har også et robust sæt anti-detektions- og undvigelsesteknikker. Den udfører flere kontroller for emulatorer, der kører på enheden, mens den også skjuler sit eget ikon fra startskærmen. Truslens kommunikation med dens Command-and-Control (C2, C&C) server er krypteret med en stærk algoritme.

Fordeling

Truslen spredes via bevæbnet applications, der foregiver at tilbyde nyttige funktioner. App'enlications kunne posere som medieafspillere, datagendannelsesværktøjer eller applications, der tilbyder streaming og live tv-tjenester. Det skal bemærkes, at indtil videre ingen af SharkBot-appenlications har formået at bryde sikkerheden i Google Play Butik. I stedet er angriberne højst sandsynligt afhængige af tredjepartsapplikationsplatforme, side-loading-teknikker eller at narre brugere gennem forskellige social-engineering-taktikker.

Relaterede indlæg

Trending

Mest sete

Indlæser...