Криптоприложение, нацеленное на вредоносное ПО SharkBot, снова появилось в магазине приложений Google
Недавно в магазине Google Play появилась обновленная версия вредоносного приложения для банковских и криптовалютных операций, которое теперь способно красть файлы cookie при входе в аккаунт и обходить требования отпечатков пальцев или аутентификации.
Предупреждением о новой версии вредоносной программы поделились в пятницу в Twitter аналитик вредоносных программ Альберто Сегура (Alberto Segura) и аналитик лечащей разведки Майк Стоккель (Mike Stokkel), поделившись статьей, написанной ими в соавторстве в блоге Fox IT.
Мы обнаружили новую версию #SharkbotDropper в Google Play, используемую для загрузки и установки #Sharkbot! Найденные дропперы использовались в кампании, направленной на Великобританию и ИТ! Отличная работа @Mike_stokkel!
— Альберто Сегура (@alberto__segura) 2 сентября 2022 г.
По словам Сегуры, новая версия вредоносной программы была обнаружена 22 августа и может «выполнять атаки оверлея, красть данные через кейлоггинг, перехватывать SMS-сообщения или предоставлять субъектам угроз полный удаленный контроль над главным устройством путем злоупотребления службами доступности».
Новая версия вредоносной программы была обнаружена в двух приложениях для Android, Mister Phone Cleaner и Kylhavy Mobile Security, которые с тех пор успели набрать 50 000 и 10 000 загрузок соответственно.
Эти два приложения первоначально смогли попасть в Play Store, поскольку автоматизированная проверка кода Google не обнаружила вредоносного кода, однако затем они были удалены из магазина.
Некоторые наблюдатели полагают, что пользователи, установившие эти приложения, все еще могут подвергаться риску и должны удалить их вручную.
Углубленный анализ, проведенный итальянской фирмой безопасности Cleafy, показал, что SharkBot обнаружил 22 цели, среди которых пять криптовалютных бирж и ряд международных банков в США, Великобритании и Италии.
Что касается способа атаки вредоносной программы, то предыдущая версия SharkBot «полагалась на разрешения доступа, чтобы автоматически выполнить установку вредоносной программы-дроппера SharkBot».
Однако новая версия отличается тем, что она «просит жертву установить вредоносное ПО в качестве поддельного обновления для антивируса, чтобы оставаться защищенной от угроз».
После установки, если жертва войдет в свой банковский или криптовалютный аккаунт, SharkBot сможет перехватить ее действующую сессионную cookie с помощью команды «logsCookie», что позволяет обойти любые используемые методы дактилоскопии или аутентификации.
Это интересно!
Вредоносная программа Sharkbot для Android отменяет диалоговые окна «Войти с помощью отпечатка пальца», так что пользователи вынуждены вводить имя пользователя и пароль
(согласно сообщению в блоге @foxit) pic.twitter.com/fmEfM5h8Gu
— Łukasz (@maldr0id) 3 сентября 2022 г.
Первая версия вредоносной программы SharkBot была впервые обнаружена Cleafy в октябре 2021 года.
Согласно первому анализу SharkBot, проведенному Cleafy, основной целью SharkBot было «инициировать денежные переводы со взломанных устройств с помощью техники Automatic Transfer Systems (ATS) в обход механизмов многофакторной аутентификации».