SharkBot olarak bilinen kötü şöhretli Android bankacılık truva atı, bir kez daha antivirüs ve daha temiz uygulamalar gibi görünerek Google Play Store’da boy gösterdi.
NCC Group’tan Fox-IT, “Bu yeni dropper, dropper Sharkbot kötü amaçlı yazılımının kurulumunu otomatik olarak gerçekleştirmek için Erişilebilirlik izinlerine güvenmiyor” söz konusu bir raporda. “Bunun yerine, bu yeni sürüm kurbandan kötü amaçlı yazılımı, antivirüsün tehditlere karşı korunması için sahte bir güncelleme olarak yüklemesini istiyor.”
Söz konusu uygulamalar, Mister Phone Cleaner ve Kylhavy Mobile Security, aralarında 60.000’den fazla kuruluma sahiptir ve İspanya, Avustralya, Polonya, Almanya, ABD ve Avusturya’daki kullanıcıları hedeflemek üzere tasarlanmıştır –
- Bay Telefon Temizleyici (com.mbkristine8.cleanmaster, 50.000’den fazla indirme)
- Kylhavy Mobile Security (com.kylhavy.antivirus, 10.000+ indirme)
Damlalıklar, SharkBot’un yeni bir sürümünü bırakmak için tasarlanmıştır, dublajlı V2 Güncellenmiş bir komut ve kontrol (C2) iletişim mekanizması, bir etki alanı oluşturma algoritması (DGA) ve tamamen yeniden düzenlenmiş bir kod tabanı içeren Hollandalı güvenlik firması ThreatFabric tarafından.
Fox-IT, 22 Ağustos 2022’de, kurbanlar banka hesaplarına giriş yaptıklarında çerezleri sifonlama işlevi sunan ve aynı zamanda yayılmak üzere kötü amaçlı yazılıma bağlantılarla gelen iletilere otomatik olarak yanıt verme özelliğini kaldıran daha yeni bir sürüm 2.25 keşfettiğini söyledi. .
Geliştirme, SharkBot’u yüklemek için Erişilebilirlik izinlerinden kaçınarak, operatörlerin Google’ın karşısında alternatif yöntemler bulmanın yanı sıra, algılamayı önlemek için tekniklerini aktif olarak ayarladıklarını vurgulamaktadır. yeni uygulanan kısıtlamalar API’lerin kötüye kullanımını azaltmak için.
Diğer kayda değer bilgi çalma yetenekleri arasında banka hesabı kimlik bilgilerini toplamak için sahte bindirmeler enjekte etmek, tuş vuruşlarını günlüğe kaydetmek, SMS mesajlarını ele geçirmek ve Otomatik Transfer Sistemini kullanarak sahte para transferleri gerçekleştirmek yer alır (ATS).
Kötü amaçlı yazılımın sürekli gelişen ve her yerde hazır bulunan bir tehdit oluşturması şaşırtıcı değildir ve Apple ve Google’ın devam eden çabalarına rağmen, bu uygulamaların geliştiricileri güvenlikten kaçmak için kitaptaki her numarayı denerken, uygulama mağazaları bilmeden dağıtım için kötüye kullanılmaya açıktır. kontrol eder.
Araştırmacılar Alberto Segura ve Mike Stokkel, “Şu ana kadar SharkBot’un geliştiricileri, Google Play Store’u en son kampanyalarda kötü amaçlı yazılımları dağıtmak için kullanmaya devam etmek için dropper’a odaklanmış görünüyor” dedi.