Android-троян SharkBot

Исследователи обнаружили операцию атаки с участием нового Android-троянца SharkBot. Угроза распространяется в нескольких странах и географических регионах. Целью злоумышленников является сбор конфиденциальной информации от своих жертв, такой как учетные данные и платежные реквизиты. Текущие версии SharkBot способны выдавать себя за 27 целевых приложений и воздействовать на них. Из них 22 принадлежат банкам Италии и Великобритании, а 5 - криптовалютным приложениям.сообщения из США.

Угрожающая функциональность

SharkBot не имеет каких-либо совпадений с существующими семействами мобильных банковских троянцев и считается специально созданной угрозой, которая все еще находится в стадии активной разработки. Он способен выполнять обычные назойливые действия, связанные с этим типом вредоносных программ. Используя законные службы доступности Android, он может выполнять оверлейные атаки, показывая поддельные экраны входа в систему для целевых приложений, а затем перекачивая введенную информацию. Кроме того, SharkBot может перехватывать SMS-сообщения на взломанном устройстве, устанавливать процедуры кейлоггера и т. Д.

Однако основная цель SharkBot - инициировать денежные переводы на зараженные устройства. Используя метод систем автоматической передачи (ATS), он может противостоять нескольким механизмам многофакторной аутентификации.успешно. Атака ATS позволяет злоумышленникам осуществлять денежные переводы, автоматически заполняя обязательные поля законного мобильного банковского приложения.связи, а затем переводят средства жертвы в сеть денежных мулов.

SharkBot также имеет надежный набор методов защиты от обнаружения и уклонения. Он выполняет несколько проверок эмуляторов, работающих на устройстве, а также скрывает свой собственный значок на главном экране. Связь угрозы с ее сервером Command-and-Control (C2, C&C) зашифрована с помощью надежного алгоритма.

Распределение

Угроза распространяется через приложение, оснащенное оружиемсообщения, которые претендуют на то, чтобы предложить полезные функции. Приложениесвязи могут выдавать себя за медиаплееры, инструменты восстановления данных или приложения.каналы, предлагающие услуги потокового и прямого телевидения. Следует отметить, что пока ни одно приложение SharkBotСвязи сумели взломать безопасность Google Play Store. Вместо этого злоумышленники, скорее всего, полагаются на стороннее приложение.платформы связи, методы боковой загрузки или обман пользователей с помощью различных тактик социальной инженерии.