SharkBot 恶意软件家族于去年 10 月首次被发现,并继续以新的方式侵入用户基于 Android 的加密和银行应用程序。
针对恶意软件的银行和加密应用程序的新升级版本最近重新出现在 Google Play 商店中,现在能够从帐户登录中窃取 cookie 并绕过指纹或身份验证要求。
9 月 2 日,恶意软件分析师 Alberto Segura 和情报分析师 Mike Stokkel 在 Twitter 账户上分享了有关新版本恶意软件的警告,并在 Fox IT 博客上分享了他们共同撰写的文章。
我们在 Google Play 中发现了一个新版本的#SharkbotDropper,用于下载和安装#Sharkbot!发现的滴管用于针对英国和 IT 的活动!干得好@Mike_stokkel!https://t.co/uXt7qgcCXb
——阿尔贝托·塞古拉 (@alberto__segura) 2022 年 9 月 2 日
根据 Segura 的说法,新版本的恶意软件于 8 月 22 日被发现,它可以“执行覆盖攻击、通过键盘记录窃取数据、拦截 SMS 消息,或通过滥用辅助功能服务让威胁参与者完全远程控制主机设备。 ”
新的恶意软件版本出现在两个 Android 应用程序中——“Mister Phone Cleaner”和“Kylhavy Mobile Security”,它们的下载量分别为 50,000 和 10,000 次。
这两个应用程序最初能够进入 Play 商店,因为谷歌的自动代码审查没有检测到任何恶意代码,尽管它已经从商店中删除。
一些观察人士建议,安装了这些应用程序的用户可能仍然面临风险,应该手动删除这些应用程序。
意大利安全公司 Cleafy 的深入分析发现,SharkBot 已确定 22 个目标,其中包括 5 家加密货币交易所和美国、英国和意大利的多家国际银行。
至于恶意软件的攻击方式,较早版本的 SharkBot 恶意软件“依靠可访问权限自动执行 dropper SharkBot 恶意软件的安装”。
但这个新版本的不同之处在于它“要求受害者安装恶意软件作为防病毒软件的虚假更新,以抵御威胁。”
安装后,如果受害者登录他们的银行或加密帐户,SharkBot 能够通过命令“logsCookie”获取他们的有效会话 cookie,这基本上绕过了所使用的任何指纹或身份验证方法。
这是有趣的!
Sharkbot Android 恶意软件正在取消“使用指纹登录”对话框,以便用户被迫输入用户名和密码
(根据@foxit博客文章)pic.twitter.com/fmEfM5h8Gu
— Łukasz (@maldr0id) 2022 年 9 月 3 日
2021 年 10 月,Cleafy首次发现了 SharkBot 恶意软件的第一个版本。
根据 Cleafy 对 SharkBot 的首次分析,SharkBot 的主要目标是“通过绕过多因素身份验证机制的自动转账系统 (ATS) 技术从受感染设备发起资金转账”。