SharkBot er en ny Android-trojaner (og botnet) i stand til at få adgang til forskellige funktioner på brudte enheder for at opnå legitimationsoplysninger relateret til bank- og kryptovalutaplatforme. Brugere i Italien, England. og US. har været målrettet indtil nu.
Android-banktruslen blev opdaget i slutningen af oktober 2021 af Cleafy-forskere, som sagde, at de ikke opdagede nogen referencer til eksisterende malware-familier.
SharkBot Android Banking Trojan: Ondsindede egenskaber
Som i den oprindelige rapport, Bankens hovedmål er at igangsætte pengeoverførsler ved hjælp af automatiske overførselssystemer (ATS) teknikker til at omgå multi-faktor autentificering. Ved at omgå disse sikkerhedsmekanismer, SharkBot omgår detektionsteknikker, der er nødvendige for at identificere mistænkelige pengeoverførsler.
Hvem er målrettet? Primært Android-brugere i U.K., USA., og Italien, med den høje mulighed for andre botnets med andre konfigurationer og mål, som kan aktiveres af botnettets modulære arkitektur. I øjeblikket, på grund af dets mange antianalyseteknikker, SharkBot har en meget lav detektionsrate. Disse teknikker inkluderer streng obfuscation rutine, emulator detektion, og en domænegenereringsalgoritme (DGA) for sin netværkskommunikation.
Ny generation af mobil malware
Malwaren bruger også de såkaldte overlejringsangreb at stjæle login-legitimationsoplysninger til cryptocurrency-tjenester og kreditkortoplysninger. Denne taktik styrkes af botnettets evne til at opsnappe lovlig bankkommunikation sendt via SMS.
"SharkBot tilhører en "ny" generation af mobil malware, da den er i stand til at udføre ATS-angreb inde i den inficerede enhed,”Siger forskerne. ATS, eller automatisk overførselssystem, er en avanceret teknik, der tillader angribere automatisk at udfylde felter i legitime mobilbankapps for at starte pengeoverførsler på kompromitterede Android-enheder.
Teknikken gør angreb yderst effektive, hvor minimum brugerinteraktion er påkrævet. Baseret på deres resultater, forskerholdet har mistanke om, at SharkBot forsøger at omgå modforanstaltninger til adfærdsdetektering, såsom biometri, som stort set er indsat af banker og finansielle tjenester. For at opnå dette, malwaren misbruger Android Accessibility Services, dermed omgå behovet for den såkaldte "nye enhedstilmelding," rapporten sagde.
Udnyttelsen af Accessibility Services udstyrer SharkBot med alle de afgørende funktioner i moderne Android-bank-malware, Herunder:
- Evne til at udføre klassiske overlejringsangreb mod flere applikationer for at stjæle login-legitimationsoplysninger og kreditkortoplysninger;
- Mulighed for at opsnappe/skjule SMS-beskeder;
- Aktivering af nøglelogningsfunktioner;
- Mulighed for at opnå fuld fjernbetjening af en Android-enhed (via tilgængelighedstjenester).
Et mærkeligt faktum er, at malwaren ikke er blevet observeret i Google Play Butik, hvilket betyder, at dens primære distribution inkluderer en kombination af side-loading-teknikker og social engineering-ordninger.
Andet bemærkelsesværdigt, nyligt opdagede Android-trojanske heste inkluderer GriftHorse, Ermac, og FluBot.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: