SharkBot Android Trojan

Uma operação de ataque envolvendo um novo Trojan Android chamado SharkBot foi descoberta pelos pesquisadores. A ameaça está sendo implantada em vários países e regiões geográficas. O objetivo dos invasores é coletar informações confidenciais de suas vítimas, tais como credenciais de conta e detalhes de pagamento. As versões atuais do SharkBot são capazes de personificar e afetar 27 aplicativos visados. Destes, 22 pertencem a bancos da Itália e do Reino Unido, enquanto 5 são aplicativos de criptomoedalicitações dos EUA.

Funcionalidade Ameaçadora

O SharkBot não exibe nenhuma sobreposição com as famílias de Trojans bancários para celular existentes e acredita-se que seja uma ameaça customizada que ainda está em desenvolvimento ativo. Ele é capaz de realizar as ações intrusivas usuais associadas a esse tipo de malware. Explorando os serviços legítimos de acessibilidade do Android, ele pode realizar ataques de sobreposição, mostrando telas de login falsas para os aplicativos visados e, em seguida, desviando as informações inseridas. Além disso, o SharkBot pode interceptar as mensagens SMS no dispositivo violado, estabelecer rotinas de keylogging, etc.

No entanto, o objetivo principal do SharkBot é iniciar transferências de dinheiro nos dispositivos infectados. Ao empregar uma técnica de Sistemas de Transferência Automática (ATS), ele pode combater vários mecanismos de autenticação multifatorados com sucesso. O ataque ATS permite que os cibercriminosos conduzam transferências de dinheiro preenchendo automaticamente os campos obrigatórios de um legítimo aplicativo bancário para celular e, em seguida, transferindo os fundos da vítima para uma rede de mulas de dinheiro.

O SharkBot também possui um conjunto robusto de técnicas de anti-detecção e evasão. Ele executa várias verificações para emuladores em execução no dispositivo, enquanto também oculta seu próprio ícone da tela inicial. A comunicação da ameaça com seu servidor de Comando e Controle (C2, C&C) é criptografada com um algoritmo forte.

Distribuição

A ameaça é espalhada por meio de um aplicativo armado que finge oferecer recursos úteis. Esses aplicativos podem se passar por reprodutores de mídia, ferramentas de recuperação de dados ou aplicativos que oferecem serviços de streaming e TV ao vivo. Deve-se notar que até agora nenhum dos aplicativos do SharkBot conseguiram violar a segurança da LOja do Google Play. Em vez disso, os invasores provavelmente dependem de aplicativos de terceiros, técnicas de side-loading ou de enganar os usuários por meio de várias táticas de engenharia social.