SharkBot é um novo trojan Android (e botnet) capaz de acessar vários recursos em dispositivos violados para obter credenciais relacionadas a plataformas bancárias e de criptomoeda. Usuários na Itália, o Reino Unido. e os EUA. foram alvejados até agora.
A ameaça do Android banking foi detectada no final de outubro 2021 por pesquisadores da Cleafy, que disseram não ter descoberto nenhuma referência a famílias de malware existentes.
Cavalo de Troia SharkBot Android Banking: Capacidades maliciosas
De acordo com o relatório original, o objetivo principal do banqueiro é iniciar transferências de dinheiro usando sistemas de transferência automática (ATS) técnicas para contornar a autenticação multifator. Contornando esses mecanismos de segurança, O SharkBot contorna as técnicas de detecção necessárias para identificar transferências de dinheiro suspeitas.
Quem é o alvo? Principalmente usuários do Android no Reino Unido., os EUA., e itália, com a grande possibilidade de outros botnets com outras configurações e alvos, que pode ser habilitado pela arquitetura modular do botnet. atualmente, devido às suas múltiplas técnicas anti-análise, SharkBot tem uma taxa de detecção muito baixa. Essas técnicas incluem rotina de ofuscação de string, detecção de emulador, e um algoritmo de geração de domínio (DGA) por sua comunicação de rede.
Nova geração de malware móvel
O malware também utiliza os chamados ataques de sobreposição para roubar credenciais de login para serviços de criptomoeda e detalhes do cartão de crédito. Essa tática é reforçada pela capacidade do botnet de interceptar comunicações bancárias legítimas enviadas por SMS.
“SharkBot pertence a uma“ nova ”geração de malware móvel, pois é capaz de realizar ataques ATS dentro do dispositivo infectado,”Disseram os pesquisadores. ATS, ou sistema de transferência automática, é uma técnica avançada que permite que os invasores preencham automaticamente os campos em aplicativos bancários móveis legítimos para iniciar transferências de dinheiro em dispositivos Android comprometidos.
A técnica torna os ataques altamente eficientes, onde a interação mínima do usuário é necessária. Com base em suas descobertas, a equipe de pesquisa suspeita que o SharkBot está tentando contornar as contramedidas de detecção comportamental, como biometria, que são amplamente implantados por bancos e serviços financeiros. Para alcançar isto, o malware abusa dos serviços de acessibilidade do Android, contornando assim a necessidade do chamado "registro de novo dispositivo," o relatório disse.
A exploração dos serviços de acessibilidade equipa o SharkBot com todos os recursos cruciais do malware moderno de Android banking, Incluindo:
- Capacidade de realizar ataques clássicos de sobreposição contra vários aplicativos para roubar credenciais de login e informações de cartão de crédito;
- Capacidade de interceptar / ocultar mensagens SMS;
- Habilitando funcionalidades de keylogging;
- Capacidade de obter controle remoto total de um dispositivo Android (via serviços de acessibilidade).
Um fato curioso é que o malware não foi observado na Google Play Store, o que significa que sua distribuição primária inclui uma combinação de técnicas de carregamento lateral e esquemas de engenharia social.
Outro notável, Os cavalos de tróia Android detectados recentemente incluem GriftHorse, Ermac, e FluBot.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: