Hasta siete aplicaciones maliciosas de Android descubiertas en Google Play Store disfrazadas de soluciones antivirus para implementar un troyano bancario llamado tiburónbot.
«SharkBot roba credenciales e información bancaria», investigadores de Check Point Alex Shamshur y Raman Ladutska dijo en un informe compartido con The Hacker News. «Este malware implementa una característica de geofencing y técnicas de evasión, lo que lo hace destacar del resto de malwares».
En particular, el malware está diseñado para ignorar a los usuarios de China, India, Rumania, Rusia, Ucrania y Bielorrusia. Se dice que las aplicaciones maliciosas se instalaron más de 15,000 veces antes de su eliminación, con la mayoría de las víctimas ubicadas en Italia y el Reino Unido.
El informe complementa los hallazgos anteriores de NCC Group, que descubrió que el robot bancario se hacía pasar por aplicaciones antivirus para realizar transacciones no autorizadas a través de sistemas de transferencia automática (ATS).
SharkBot aprovecha los permisos de los Servicios de accesibilidad de Android para presentar ventanas superpuestas falsas sobre aplicaciones bancarias legítimas. Por lo tanto, cuando los usuarios desprevenidos ingresan sus nombres de usuario y contraseñas en las ventanas que imitan los formularios de entrada de credenciales benignos, los datos capturados se envían a un servidor malicioso.
Una nueva característica notable de SharkBot es su capacidad de responder automáticamente a las notificaciones de Facebook Messenger y WhatsApp para distribuir un enlace de phishing a la aplicación antivirus, propagando así el malware como un gusano. Una función similar se incorporó en FluBot a principios de febrero.
«Lo que también es digno de mención aquí es que los actores de amenazas envían mensajes a las víctimas que contienen enlaces maliciosos, lo que conduce a una adopción generalizada», dijo Alexander Chailytko, gerente de ciberseguridad, investigación e innovación de Check Point Software.
«Con todo, el uso de mensajes push por parte de los actores de amenazas que solicitan una respuesta de los usuarios es una técnica de difusión inusual».
Los últimos hallazgos surgen cuando Google tomó medidas para desterrar 11 aplicaciones de Play Store el 25 de marzo después de que se les descubriera incorporando un SDK invasivo para recopilar discretamente los datos del usuarioincluida información de ubicación precisa, correo electrónico y números de teléfono, dispositivos cercanos y contraseñas.