El notorio troyano bancario para Android conocido como SharkBot ha vuelto a aparecer en Google Play Store haciéndose pasar por aplicaciones antivirus y de limpieza.
«Este nuevo cuentagotas no depende de los permisos de accesibilidad para realizar automáticamente la instalación del malware cuentagotas Sharkbot», Fox-IT de NCC Group. dijo en un informe «En cambio, esta nueva versión le pide a la víctima que instale el malware como una actualización falsa para que el antivirus permanezca protegido contra las amenazas».
Las aplicaciones en cuestión, Mister Phone Cleaner y Kylhavy Mobile Security, tienen más de 60 000 instalaciones entre ellas y están diseñadas para usuarios de España, Australia, Polonia, Alemania, EE. UU. y Austria.
- Mister Phone Cleaner (com.mbkristine8.cleanmaster, más de 50 000 descargas)
- Kylhavy Mobile Security (com.kylhavy.antivirus, más de 10 000 descargas)
Los goteros están diseñados para soltar una nueva versión de SharkBot, apodado V2 por la firma de seguridad holandesa ThreatFabric, que presenta un mecanismo de comunicación de comando y control (C2) actualizado, un algoritmo de generación de dominio (DGA) y una base de código completamente refactorizada.
Fox-IT dijo que descubrió una nueva versión 2.25 el 22 de agosto de 2022, que presenta una función para desviar cookies cuando las víctimas inician sesión en sus cuentas bancarias, al tiempo que elimina la capacidad de responder automáticamente a los mensajes entrantes con enlaces al malware para su propagación. .
Al evitar los permisos de Accesibilidad para instalar SharkBot, el desarrollo destaca que los operadores están modificando activamente sus técnicas para evitar la detección, sin mencionar la búsqueda de métodos alternativos frente a los de Google. restricciones recientemente impuestas para reducir el abuso de las API.
Otras capacidades notables de robo de información incluyen la inyección de superposiciones falsas para recolectar credenciales de cuentas bancarias, registrar pulsaciones de teclas, interceptar mensajes SMS y realizar transferencias de fondos fraudulentas utilizando el Sistema de Transferencia Automatizado (ATS).
No sorprende que el malware represente una amenaza omnipresente y en constante evolución y, a pesar de los continuos esfuerzos por parte de Apple y Google, las tiendas de aplicaciones son vulnerables al abuso sin saberlo para su distribución, y los desarrolladores de estas aplicaciones intentan todos los trucos para eludir la seguridad. cheques
«Hasta ahora, los desarrolladores de SharkBot parecen haberse centrado en el cuentagotas para seguir usando Google Play Store para distribuir su malware en las últimas campañas», dijeron los investigadores Alberto Segura y Mike Stokkel.