SharkBot Android Trojan

De onderzoekers hebben een aanvalsoperatie ontdekt met een nieuwe Android-trojan genaamd SharkBot. De dreiging wordt ingezet in meerdere landen en geografische regio's. Het doel van de aanvallers is om gevoelige informatie van hun slachtoffers te verzamelen, zoals accountgegevens en betalingsgegevens. De huidige versies van SharkBot kunnen 27 gerichte toepassingen nabootsen en beïnvloeden. Van hen zijn er 22 eigendom van banken uit Italië en het VK, terwijl 5 een cryptocurrency-app zijnvergunningen uit de VS.

Bedreigende functionaliteit

SharkBot vertoont geen overlappingen met de bestaande Trojan-families voor mobiel bankieren en wordt beschouwd als een op maat gemaakte bedreiging die nog volop in ontwikkeling is. Het is in staat om de gebruikelijke opdringerige acties uit te voeren die bij dit type malware horen. Door gebruik te maken van de legitieme Android Accessibility-services, kan het overlay-aanvallen uitvoeren door valse inlogschermen te tonen voor de gerichte apps en vervolgens de ingevoerde informatie over te hevelen. Bovendien kan SharkBot de sms-berichten op het gehackte apparaat onderscheppen, keylogging-routines instellen, enz.

Het belangrijkste doel van SharkBot is echter om geldoverdrachten op de geïnfecteerde apparaten te starten. Door gebruik te maken van een Automatic Transfer Systems (ATS)-techniek, kan het verschillende multi-factor authenticatiemechanismen tegengaanmet succes. De ATS-aanval stelt de cybercriminelen in staat om geldoverdrachten uit te voeren door de vereiste velden van de legitieme app voor mobiel bankieren automatisch in te vullenen vervolgens het geld van het slachtoffer over te zetten naar een money mule-netwerk.

SharkBot heeft ook een robuuste set anti-detectie- en ontwijkingstechnieken. Het voert meerdere controles uit voor emulators die op het apparaat worden uitgevoerd, terwijl het ook zijn eigen pictogram van het startscherm verbergt. De communicatie van de dreiging met zijn Command-and-Control (C2, C&C)-server is versleuteld met een sterk algoritme.

Verdeling

De dreiging wordt verspreid via een bewapende applicenties die pretenderen handige functies te bieden. De applicenties kunnen zich voordoen als mediaspelers, tools voor gegevensherstel of applicenties die streaming en live tv-diensten aanbieden. Opgemerkt moet worden dat tot nu toe geen van de SharkBot-applicenties zijn erin geslaagd de beveiliging van de Google Play Store te doorbreken. In plaats daarvan vertrouwen de aanvallers waarschijnlijk op een app van derdenlication platforms, side-loading technieken, of gebruikers misleiden door middel van verschillende social-engineering tactieken.