Familia de malware Sharkbot este din nou în centrul atenției și după ce a fost identificată în toamna anului trecut, chiar acum este din nou protagonistă. Se pare că se pare că a revenit cu o versiune mai periculoasă și mai îmbunătățită.
Problema este cu Android, deoarece a reapărut recent într-o aplicație bancară și cripto, care are acum capacitatea de a fura cookie-uri din autentificarea contului și de a ocoli amprentele digitale sau cerințele de autentificare. Un avertisment despre noua versiune a malware-ului a fost distribuit de analistul Alberto Segura și analistul de informații, Mike Stokkel, pe conturile lor de Twitter pe 2 septembrie.
Potrivit Segura, noua versiune a malware-ului a fost identificată pe 22 august și, după cum susține el, „poate efectua atacuri de suprapunere, poate fura date prin keylogging, poate intercepta mesaje SMS sau poate oferi control de la distanță complet al dispozitivului gazdă prin abuzarea serviciilor de accesibilitate. „
Nu e nicio glumă, așadar, și pentru că noua versiune a fost găsită în cadrul a două aplicații Android , și anume „Mister Phone Cleaner” și „Kylhavy Mobile Security” , care de la debutul lor în Play Store au acumulat 50.000, respectiv 10.000 de descărcări totale. Cele două aplicații au ajuns netulburate în Magazinul Play, deoarece analiza automată a codului de către Google nu a detectat niciun cod rău intenționat.
Acestea au fost acum eliminate, dar conform unor experți în securitate, utilizatorii care le-au instalat fără să cunoască scopul real pentru care au fost create pot fi încă în pericol și ar trebui să le elimine manual.
O analiză aprofundată realizată de firma italiană de securitate Cleafy a constatat că SharkBot are 22 de ținte, care includ cinci schimburi de criptomonede și o serie de bănci internaționale din SUA, Marea Britanie și Italia. În ceea ce privește modul în care a atacat malware-ul, versiunea anterioară a malware-ului SharkBot s-a bazat pe permisiunile de accesibilitate pentru a efectua automat instalarea malware-ului SharkBot dropper, în timp ce această nouă versiune diferă prin a cere victimei să instaleze malware-ul ca o actualizare falsă pentru ca antivirusul rămâne protejat de amenințări.
Prin urmare, nu este prezent în aplicația în sine și, prin urmare, reprezintă o problemă și mai gravă. Odată instalat, atunci când victima se conectează la contul său bancar sau cripto, SharkBot poate extrage cookie-ul de sesiune valid prin comanda „logsCookie”, care practic ignoră orice metodă de autentificare sau de amprentare utilizată.
Potrivit primei analize a lui Cleafy’s SharkBot, scopul principal al lui SharkBot a fost să inițieze transferuri de bani de pe dispozitive compromise prin tehnica sistemelor de transfer automat (ATS) ocolind astfel mecanismele de autentificare multifactor.
