SharkBotは新しいAndroidトロイの木馬です (およびボットネット) 侵害されたデバイスのさまざまな機能にアクセスして、銀行および暗号通貨プラットフォームに関連する資格情報を取得できる. イタリアのユーザー, イギリス. と米国. これまでに標的にされてきた.
Androidバンキングの脅威が10月末に検出されました 2021 Cleafyの研究者による, 既存のマルウェアファミリーへの参照を発見しなかったと誰が言った.
SharkBotAndroidバンキング型トロイの木馬: 悪意のある機能
元のレポートによる, 銀行家の主な目標は、自動送金システムを使用して送金を開始することです (ATS) 多要素認証をバイパスする手法. これらのセキュリティメカニズムをバイパスすることによって, SharkBotは、疑わしい送金を特定するために必要な検出技術を回避します.
対象者? 主に英国のAndroidユーザー, アメリカ, とイタリア, 他の構成とターゲットを持つ他のボットネットの可能性が高い, これは、ボットネットのモジュラーアーキテクチャによって有効にできます. 現在, その複数の反分析技術のため, SharkBotの検出率は非常に低いです. これらの手法には、文字列難読化ルーチンが含まれます, エミュレーターの検出, およびドメイン生成アルゴリズム (DGA) そのネットワーク通信のために.
新世代のモバイルマルウェア
マルウェアは、いわゆるオーバーレイ攻撃も利用します 暗号通貨サービスへのログイン資格情報を盗むため およびクレジットカードの詳細. この戦術は、SMSを介して送信された正当な銀行通信を傍受するボットネットの機能によって強化されています.
「SharkBotは「新」世代のモバイルマルウェアに属しています, 感染したデバイス内でATS攻撃を実行できるため,」研究者は言った. ATS, または自動転送システム, は、攻撃者が正規のモバイルバンキングアプリのフィールドに自動入力して、侵害されたAndroidデバイスで送金を開始できるようにする高度な手法です。.
このテクニックは攻撃を非常に効率的にします, 最小限のユーザー操作が必要な場合. 彼らの調査結果に基づく, 研究チームは、SharkBotが行動検出対策を回避しようとしているのではないかと疑っています, バイオメトリクスなど, これらは主に銀行や金融サービスによって展開されています. これを達成するには, マルウェアはAndroidアクセシビリティサービスを悪用します, したがって、いわゆる「新しいデバイス登録」の必要性を回避します," レポート 言った.
アクセシビリティサービスのエクスプロイトは、SharkBotに最新のAndroidバンキングマルウェアのすべての重要な機能を備えています, 含む:
- ログイン資格情報とクレジットカード情報を盗むために、複数のアプリケーションに対して従来のオーバーレイ攻撃を実行する機能;
- SMSメッセージを傍受/非表示にする機能;
- キーロギング機能の有効化;
- Androidデバイスの完全なリモートコントロールを取得する機能 (アクセシビリティサービス経由).
奇妙な事実は、マルウェアがGooglePlayストアで観察されていないということです, つまり、その一次配布には、サイドローディング手法とソーシャルエンジニアリングスキームの組み合わせが含まれます.
その他の注目すべき, 最近検出されたAndroidトロイの木馬には次のものがあります GriftHorse, Ermac, と FluBot.