SharkBot es un nuevo troyano de Android (y botnet) capaz de acceder a varias funciones en dispositivos violados para obtener credenciales relacionadas con plataformas bancarias y de criptomonedas. Usuarios en Italia, el Reino Unido. y la U.S. han sido objetivo hasta ahora.
La amenaza bancaria de Android se detectó a finales de octubre 2021 por investigadores de Cleafy, que dijeron que no descubrieron ninguna referencia a familias de malware existentes.
Troyano bancario de Android SharkBot: Capacidades maliciosas
Según el informe original, El objetivo principal del banquero es iniciar transferencias de dinero utilizando sistemas de transferencia automática. (ATS) técnicas para eludir la autenticación multifactor. Pasando por alto estos mecanismos de seguridad, SharkBot elude las técnicas de detección necesarias para identificar transferencias de dinero sospechosas.
¿Quién se apunta? Principalmente usuarios de Android en el Reino Unido., los Estados Unidos., e Italia, con la alta posibilidad de otras botnets con otras configuraciones y objetivos, que puede ser habilitado por la arquitectura modular de la botnet. Actualmente, debido a sus múltiples técnicas anti-análisis, SharkBot tiene una tasa de detección muy baja. Estas técnicas incluyen la rutina de ofuscación de cuerdas., detección de emulador, y un algoritmo de generación de dominio (DGA) por su comunicación en red.
Nueva generación de malware móvil
El malware también utiliza los llamados ataques de superposición. para robar credenciales de inicio de sesión a servicios de criptomonedas y detalles de tarjetas de crédito. Esta táctica se ve reforzada por la capacidad de la botnet para interceptar comunicaciones bancarias legítimas enviadas a través de SMS..
"SharkBot pertenece a una" nueva "generación de malware móvil, ya que puede realizar ataques ATS dentro del dispositivo infectado,”Dijeron los investigadores. ATS, o sistema de transferencia automática, es una técnica avanzada que permite a los atacantes completar automáticamente los campos en aplicaciones legítimas de banca móvil para iniciar transferencias de dinero en dispositivos Android comprometidos.
La técnica hace que los ataques sean altamente eficientes., donde se requiere una interacción mínima del usuario. Basado en sus hallazgos, el equipo de investigación sospecha que SharkBot está intentando eludir las contramedidas de detección del comportamiento, como la biometría, que son desplegados en gran parte por bancos y servicios financieros. Lograr esto, el malware abusa de los servicios de accesibilidad de Android, evitando así la necesidad de la llamada "inscripción de nuevos dispositivos," el informe dijo.
El exploit of Accessibility Services equipa a SharkBot con todas las características cruciales del malware bancario moderno de Android, Incluido:
- Capacidad para realizar ataques de superposición clásicos contra múltiples aplicaciones para robar credenciales de inicio de sesión e información de tarjetas de crédito;
- Capacidad para interceptar / ocultar mensajes SMS;
- Habilitación de funcionalidades de registro de claves;
- Capacidad para obtener el control remoto completo de un dispositivo Android (a través de los servicios de accesibilidad).
Un dato curioso es que no se ha observado el malware en Google Play Store., lo que significa que su distribución primaria incluye una combinación de técnicas de carga lateral y esquemas de ingeniería social.
Otros notables, Los troyanos de Android detectados recientemente incluyen GriftCaballo, Ermac, y FluBot.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: