SharkBot Android Trojan

Badacze wykryli operację ataku z użyciem nowego trojana dla Androida o nazwie SharkBot. Zagrożenie rozprzestrzenia się w wielu krajach i regionach geograficznych. Celem atakujących jest zbieranie poufnych informacji od swoich ofiar, takich jak dane uwierzytelniające konta i szczegóły płatności. Obecne wersje SharkBot są w stanie podszywać się pod 27 docelowych aplikacji i wpływać na nie. Spośród nich 22 należą do banków z Włoch i Wielkiej Brytanii, a 5 to aplikacje kryptowalutowelikacje z USA.

Groźna funkcjonalność

SharkBot w żaden sposób nie pokrywa się z istniejącymi rodzinami trojanów bankowości mobilnej i uważa się, że jest to niestandardowe zagrożenie, które jest nadal aktywnie rozwijane. Jest w stanie wykonywać zwykłe natrętne działania związane z tym typem złośliwego oprogramowania. Wykorzystując legalne usługi ułatwień dostępu Androida, może przeprowadzać ataki typu overlay, pokazując fałszywe ekrany logowania dla atakowanych aplikacji, a następnie wysysając wprowadzone informacje. Ponadto SharkBot może przechwytywać wiadomości SMS na złamanym urządzeniu, ustanawiać procedury rejestrowania klawiszy itp.

Jednak głównym celem SharkBota jest inicjowanie transferów pieniężnych na zainfekowanych urządzeniach. Wykorzystując technikę Automatic Transfer Systems (ATS), może przeciwdziałać kilku wieloskładnikowym mechanizmom uwierzytelnianiaz powodzeniem. Atak ATS umożliwia cyberprzestępcom dokonywanie przelewów pieniężnych poprzez automatyczne wypełnianie wymaganych pól legalnej aplikacji bankowości mobilnejlikacje, a następnie przekazując fundusze ofiary do sieci muła pieniężnego.

SharkBot ma również solidny zestaw technik zapobiegania wykrywaniu i unikaniu. Wykonuje wiele kontroli emulatorów działających na urządzeniu, jednocześnie ukrywając własną ikonę na ekranie głównym. Komunikacja zagrożenia z jego serwerem Command-and-Control (C2, C&C) jest szyfrowana silnym algorytmem.

Dystrybucja

Zagrożenie rozprzestrzenia się za pośrednictwem uzbrojonej aplikacjilikacje, które udają, że oferują przydatne funkcje. Aplikacjalikacje mogą podszywać się pod odtwarzacze multimedialne, narzędzia do odzyskiwania danych lub aplikacjęlikacje oferujące usługi transmisji strumieniowej i telewizji na żywo. Należy zauważyć, że jak dotąd żadna z aplikacji SharkBotlikacje zdołały naruszyć bezpieczeństwo Sklepu Google Play. Zamiast tego atakujący najprawdopodobniej polegają na aplikacji innej firmyplatformy licacyjne, techniki ładowania bocznego lub oszukiwanie użytkowników za pomocą różnych taktyk socjotechnicznych.