SharkBot is een nieuwe Android-trojan (en botnet) in staat om toegang te krijgen tot verschillende functies op geschonden apparaten om inloggegevens te verkrijgen met betrekking tot bank- en cryptocurrency-platforms. Gebruikers in Italië, het VK. en de U.S. zijn tot nu toe het doelwit geweest.
De dreiging van Android-bankieren werd eind oktober gedetecteerd 2021 door Cleafy-onderzoekers, die zeiden dat ze geen verwijzingen naar bestaande malwarefamilies hebben ontdekt.
SharkBot Android Banking Trojan: Kwaadaardige mogelijkheden
Volgens het originele rapport, het belangrijkste doel van de bankier is om geldoverdrachten te initiëren met behulp van automatische overboekingssystemen (ATS) technieken om multi-factor authenticatie te omzeilen. Door deze beveiligingsmechanismen te omzeilen, SharkBot omzeilt detectietechnieken die nodig zijn om verdachte geldoverdrachten te identificeren.
Wie is gericht? Voornamelijk Android-gebruikers in het VK, de Verenigde Staten, en Italië, met de grote kans op andere botnets met andere configuraties en doelen, die kan worden ingeschakeld door de modulaire architectuur van het botnet. Momenteel, vanwege de meerdere anti-analysetechnieken, SharkBot heeft een zeer lage detectiegraad. Deze technieken omvatten een routine voor het verduisteren van strings, emulator detectie, en een algoritme voor het genereren van domeinen (DGA) voor zijn netwerkcommunicatie.
Nieuwe generatie mobiele malware
De malware maakt ook gebruik van de zogenaamde overlay-aanvallen om inloggegevens voor cryptocurrency-services te stelen en creditcardgegevens. Deze tactiek wordt versterkt door het vermogen van het botnet om legitieme bankcommunicatie verzonden via sms te onderscheppen.
“SharkBot behoort tot een “nieuwe” generatie mobiele malware, omdat het in staat is om ATS-aanvallen uit te voeren op het geïnfecteerde apparaat,”Aldus de onderzoekers. ATS, of automatisch overboekingssysteem, is een geavanceerde techniek waarmee aanvallers automatisch velden in legitieme apps voor mobiel bankieren kunnen invullen om geldoverdrachten op gecompromitteerde Android-apparaten te starten.
De techniek maakt aanvallen zeer efficiënt, waar minimale gebruikersinteractie vereist is. Op basis van hun bevindingen, het onderzoeksteam vermoedt dat SharkBot de tegenmaatregelen voor gedragsdetectie probeert te omzeilen, zoals biometrie, die grotendeels worden ingezet door banken en financiële diensten. Om dit te behalen, de malware maakt misbruik van Android Accessibility Services, waardoor de noodzaak van de zogenaamde "nieuwe apparaatregistratie" wordt omzeild," het verslag zei.
De exploit van Accessibility Services voorziet SharkBot van alle cruciale functies van moderne Android banking-malware, Inclusief:
- Mogelijkheid om klassieke overlay-aanvallen uit te voeren op meerdere applicaties om inloggegevens en creditcardgegevens te stelen;
- Mogelijkheid om SMS-berichten te onderscheppen/verbergen;
- Functies voor key-logging inschakelen;
- Mogelijkheid om volledige afstandsbediening van een Android-apparaat te verkrijgen (via toegankelijkheidsservices).
Een merkwaardig feit is dat de malware niet is waargenomen in de Google Play Store, wat betekent dat de primaire distributie een combinatie omvat van de side-loading-technieken en social engineering-schema's.
andere opmerkelijke, recent gedetecteerde Android-trojans omvatten: GriftPaard, Ermac, en FluBot.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: