SharkBot Android Trojan

En angrepsoperasjon som involverer en ny Android-trojaner kalt SharkBot har blitt avdekket av forskerne. Trusselen blir distribuert over flere land og geografiske regioner. Målet til angriperne er å samle inn sensitiv informasjon fra ofrene deres, for eksempel kontolegitimasjon og betalingsdetaljer. De nåværende versjonene av SharkBot er i stand til å etterligne og påvirke 27 målrettede applikasjoner. Av dem tilhører 22 banker fra Italia og Storbritannia, mens 5 er cryptocurrency-apperlikasjoner fra USA.

Truende funksjonalitet

SharkBot viser ingen overlappinger med de eksisterende trojanske familiene for mobilbanktjenester og antas å være en spesialbygd trussel som fortsatt er under aktiv utvikling. Den er i stand til å utføre de vanlige påtrengende handlingene knyttet til denne typen skadelig programvare. Ved å utnytte de legitime Android-tilgjengelighetstjenestene, kan den utføre overleggsangrep ved å vise falske påloggingsskjermer for de målrettede appene og deretter siphore den angitte informasjonen. Videre kan SharkBot avskjære SMS-meldingene på enheten som brytes, etablere keylogging-rutiner osv.

Imidlertid er hovedmålet til SharkBot å sette i gang pengeoverføringer på de infiserte enhetene. Ved å bruke en Automatic Transfer Systems (ATS) teknikk, kan den motvirke flere multifaktorautentiseringsmekanismervellykket. ATS-angrepet lar nettkriminelle utføre pengeoverføringer ved å automatisk fylle ut de nødvendige feltene for legitim mobilbankappog deretter koble offerets midler til et muldyrnettverk.

SharkBot har også et robust sett med anti-deteksjons- og unnvikelsesteknikker. Den utfører flere kontroller for emulatorer som kjører på enheten, samtidig som den skjuler sitt eget ikon fra startskjermen. Trusselens kommunikasjon med Command-and-Control-serveren (C2, C&C) er kryptert med en sterk algoritme.

Fordeling

Trusselen spres via bevæpnet applikasjoner som later til å tilby nyttige funksjoner. Appenlikasjoner kan posere som mediespillere, datagjenopprettingsverktøy eller applikasjoner som tilbyr streaming og direkte TV-tjenester. Det skal bemerkes at så langt ingen av SharkBot-appenlikasjoner har klart å bryte sikkerheten til Google Play Store. I stedet stoler angriperne mest sannsynlig på tredjepartsapperlikasjonsplattformer, sidelastingsteknikker eller luring av brukere gjennom ulike sosiale ingeniørtaktikker.