SharkBot är en skadlig programvara för Android-banker som maskerar sig som ett antivirus

Dela bot En av bankernas skadliga program sprids i Google Play Butik
Förklädd som ett antivirus Med OS-rengöringsfunktion. Skadlig programvara har upptäckts på Play Butik Av NCC säkerhetsforskare, som publicerade en detaljerad analys av skadlig programvara.

SharkBot erkändes först i oktober 2021 av Cleafy som redan har hittat möjligheten att överföra pengar via automatiskt överföringssystem Genom att simulera pekkommandon på hackade enheter.

Det här är jobbet som var Det hittades också av NCC-forskare, som den identifierade i den senaste versionen av skadlig programvara, men kommer endast att användas i begränsade fall av avancerade attacker. SharkBot, i sin senaste version, har fyra huvudfunktioner.

Först och främst kan skadlig programvara Stöld av referenser genom att exponera webbinnehåll genom att utnyttja nätfisketekniker En gång upptäckt att öppna den officiella bankappen. SharkBot kan också stjäla åtkomstuppgifter till kontot genom att logga tillgänglighetshändelser relaterade till ändringar i textfält och utlösta knappar, och sedan skicka loggar över dessa händelser till en kommando- och kontrollserver. Skadlig programvara kan
Avlyssna och dölja SMS Den skickas till smartphonen och kan äntligen få full fjärrkontroll av Android-enheten.




Skadlig programvara kan utföra dessa aktiviteter eftersom den missbrukar Android-åtkomstbehörigheten och ger sig själv ytterligare behörigheter efter behov. Allt detta gör att SharkBot kan upptäcka när en användare har startat en bankapplikation och utföra lämpliga manövrar för att stjäla användaruppgifter.

Vi nämnde lite ovan att ha en kommando- och kontrollserver: SharkBot kan verkligen Ta emot kommandon på distans för att utföra olika aktiviteter Som att skicka ett SMS, byta SMS-operatör, ladda ner filer från en URL, ta emot en konfigurationsfil, avinstallera applikationer, stänga av batterioptimering, visa nätfiskeöverlägg, slå på eller av ATS och stänga en specifik applikation när användaren försöker starta han Hon.

Se även  Blizzard har nu en kulturchef, en VP som kommer att driva mångfald och inkludera...

Skillnaden mellan SharkBot och andra banktrojaner för Android är användningen av komponenter som utnyttjar funktionen ”direkt svar” för meddelanden: skadlig programvara kan fånga upp och svara på nya meddelanden direkt genom meddelanden som kommer från kommando- och kontrollservern. Den här funktionen används av skadlig programvara för Fördelning av nyttolaster till den hackade enhetenoch svara med en kort URL via Bit.ly.

Forskarna fann då att den första versionen av SharkBot som cirkulerade i Play Store innehöll en begränsad version av skadlig programvara för att minska risken för att den upptäcks och avvisas av butiken. Med direktsvarsfunktionen som beskrivs ovan laddas den fullständiga versionen av SharkBot ner direkt från kommando- och kontrollservern och installeras automatiskt på enheten. Sedan noterar NCC att kommando- och kontrollservern förlitar sig på algoritmsystemet för domänskapande som gör det svårt att blockera domäner som SharkBot-kommandon kommer ifrån.

I dessa fall är förslaget att undvika att ladda ner applikationer som kommer från okända utvecklare, speciellt när det kommer till antivirus, alltid förlita sig på lösningar från välkända och beprövade tillverkare.

Lämna ett svar

Din e-postadress kommer inte publiceras.