SharkBot ist ein neuer Android-Trojaner (und Botnet) in der Lage, auf verschiedene Funktionen auf angegriffenen Geräten zuzugreifen, um Zugangsdaten zu Bank- und Kryptowährungsplattformen zu erhalten. Benutzer in Italien, das Vereinigte Königreich. und die US-. wurden bisher gezielt.
Die Android-Banking-Bedrohung wurde Ende Oktober entdeckt 2021 von Cleafy-Forschern, die angaben, keine Hinweise auf bestehende Malware-Familien gefunden zu haben.
SharkBot Android Banking-Trojaner: Schädliche Fähigkeiten
Laut Originalbericht, Das Hauptziel des Bankiers ist es, Geldüberweisungen mit automatischen Überweisungssystemen zu initiieren (ATS) Techniken zur Umgehung der Multi-Faktor-Authentifizierung. Durch Umgehen dieser Sicherheitsmechanismen, SharkBot umgeht Erkennungstechniken, die zur Identifizierung verdächtiger Geldüberweisungen erforderlich sind.
Wer gezielt? Hauptsächlich Android-Nutzer in Großbritannien., die US-, und Italien, mit der hohen Wahrscheinlichkeit anderer Botnets mit anderen Konfigurationen und Zielen, die durch die modulare Architektur des Botnetzes ermöglicht werden können. Zur Zeit, aufgrund seiner zahlreichen Anti-Analyse-Techniken, SharkBot hat eine sehr niedrige Erkennungsrate. Zu diesen Techniken gehört die String-Verschleierungsroutine, Emulatorerkennung, und ein Domänengenerierungsalgorithmus (DGA) für seine Netzwerkkommunikation.
Neue Generation mobiler Malware
Die Malware nutzt auch die sogenannten Overlay-Angriffe um Anmeldedaten für Kryptowährungsdienste zu stehlen und Kreditkartendaten. Diese Taktik wird durch die Fähigkeit des Botnets verstärkt, legitime Bankkommunikationen abzufangen, die per SMS gesendet werden.
„SharkBot gehört zu einer „neuen“ Generation mobiler Malware, da es in der Lage ist, ATS-Angriffe innerhalb des infizierten Geräts durchzuführen,“Sagten die Forscher. ATS, oder automatisches Transfersystem, ist eine fortschrittliche Technik, die es Angreifern ermöglicht, Felder in legitimen mobilen Banking-Apps automatisch auszufüllen, um Geldüberweisungen auf kompromittierten Android-Geräten zu veranlassen.
Die Technik macht Angriffe hocheffizient, wo minimale Benutzerinteraktion erforderlich ist. Basierend auf ihren Erkenntnissen, das Forschungsteam vermutet, dass SharkBot versucht, Gegenmaßnahmen zur Verhaltenserkennung zu umgehen, wie Biometrie, die überwiegend von Banken und Finanzdienstleistern eingesetzt werden. Um das zu erreichen, die Malware missbraucht Android Accessibility Services, wodurch die Notwendigkeit der sogenannten „Neugeräte-Registrierung“ umgangen wird," der Bericht sagte.
Der Exploit von Accessibility Services stattet SharkBot mit allen wichtigen Funktionen moderner Android-Banking-Malware aus, Inklusive:
- Möglichkeit, klassische Overlay-Angriffe gegen mehrere Anwendungen durchzuführen, um Anmeldeinformationen und Kreditkarteninformationen zu stehlen;
- Möglichkeit zum Abfangen/Verbergen von SMS-Nachrichten;
- Aktivieren von Key-Logging-Funktionen;
- Möglichkeit zur vollständigen Fernbedienung eines Android-Geräts (über Barrierefreiheitsdienste).
Eine merkwürdige Tatsache ist, dass die Malware im Google Play Store nicht beobachtet wurde, Dies bedeutet, dass seine primäre Verteilung eine Kombination aus Sideloading-Techniken und Social-Engineering-Schemata umfasst.
Andere bemerkenswerte, Zu den kürzlich entdeckten Android-Trojanern gehören GriftPferd, Ermac, und FluBot.