Sharkbot kötü amaçlı yazılımlarının yeni ve yükseltilmiş bir sürümü, on binlerce kurulum olan uygulamalar aracılığıyla Android kullanıcılarının bankacılık girişlerini hedefleyen Google'ın Play Store'a geri döndü.
Kötü amaçlı yazılım, Google'ın otomatik incelemesine gönderildiğinde herhangi bir kötü amaçlı kod içermeyen iki Android uygulamasında mevcuttu.
Ancak, SharkBot, kullanıcı damlalık uygulamalarını yükledikten ve başlattıktan sonra meydana gelen bir güncellemeye eklenir.
NCC Group'un bir parçası olan Fox It'in bir blog yayınına göre, iki kötü amaçlı uygulama toplu olarak 60.000 kurulumu sayan “Mister Telefon Temizleyici” ve “Kylhavy Mobile Security”.
İki uygulama Google Play'den kaldırıldı, ancak bunları yükleyen kullanıcılar hala risk altında ve bunları manuel olarak kaldırmalı.
İtalyan çevrimiçi sahtekarlık yönetimi ve önleme şirketi Cleafy'deki kötü amaçlı yazılım analistleri, Ekim 2021'de Sharkbot'u keşfetti. Mart 2022'de NCC Group, Google Play'de ilk uygulamaları buldu.
O zaman, kötü amaçlı yazılım, kaplama saldırıları gerçekleştirebilir, Keylogging aracılığıyla verileri çalabilir, SMS mesajlarını kesebilir veya tehdit aktörlerine erişilebilirlik hizmetlerini kötüye kullanarak ana bilgisayarın tam uzaktan kumandasını sağlayabilir.
Mayıs 2022'de, TehditFabric'teki araştırmacılar, bir etki alanı oluşturma algoritması (DGA), güncellenmiş bir iletişim protokolü ve tamamen yeniden düzenlenmiş bir kodla gelen Sharkbot 2'yi tespit etti.
Fox'taki araştırmacılar, 22 Ağustos'ta kötü amaçlı yazılımların (2.25) yeni bir sürümünü keşfetti ve bu da banka hesabı girişlerinden çerez çalma yeteneğini ekledi.
Buna ek olarak, yeni damlalık uygulamaları erişilebilirlik hizmetlerini daha önce olduğu gibi kötüye kullanmaz.
“Erişilebilirlik izinlerini kötüye kullanan damlalık, Sharkbot'u yüklemek için kullanıcı arayüzünde gösterilen tüm düğmeleri otomatik olarak tıklayabildi. Ama Sharkbot için Droper'ın bu yeni versiyonunda durum böyle değil, ”Fox It
“Droper bunun yerine C2 sunucusuna doğrudan Sharkbot'un APK dosyasını alması için bir talepte bulunacak. Normalde yaptığı 'Otomatik Aktarım Sistemleri' (ATS) özelliklerini kullanarak kötü amaçlı yazılım yükleme adımlarının yanı sıra bir indirme bağlantısı almaz ”diyor Fox.
Droper uygulaması yüklendikten sonra, kötü amaçlı Sharkbot APK dosyasını isteyen komut ve denetim (C2) sunucusuyla temas eder. Droper daha sonra kullanıcıya bir güncellemenin mevcut olduğu konusunda uyarır ve APK'yı yüklemelerini ve gerekli tüm izinleri vermelerini ister.
Otomatik algılamayı daha zor hale getirmek için Sharkbot, sabit kodlu yapılandırmasını RC4 algoritmasını kullanarak şifreli formda saklar.
Yer paylaşımı, SMS kesişme, uzaktan kumanda ve anahtarlık sistemleri hala Sharkbot 2.25'te mevcuttur, ancak üstüne bir çerez logger eklenmiştir.
Mağdur banka hesaplarına giriş yaptığında, Sharkbot yeni bir komut (“Logscookie”) kullanarak geçerli oturum çerezlerini kapar ve C2'ye gönderir.
Çerezler hesapları devralmak için değerlidir, çünkü parmak izi kontrollerini veya bazı durumlarda kullanıcı kimlik doğrulaması belirtecinin kendisini atlamaya yardımcı olan yazılım ve konum parametreleri içerirler.
Soruşturma sırasında Fox IT, Avrupa'da (İspanya, Avusturya, Almanya, Polonya, Avusturya) yeni Sharkbot kampanyaları gözlemlendi ve araştırmacılar, kötü amaçlı yazılımların bu saldırılarda anahtarlık özelliğini kullandığını ve hassas bilgileri doğrudan resmi uygulamadan çaldığını fark ettiler. hedefler.
Mevcut kötü amaçlı yazılımların geliştirilmiş bir sürümü ile Fox, Sharkbot kampanyalarının devam etmesini ve kötü amaçlı yazılımların evrimini bekliyor.
Google Play'de bulunan 2 milyon yüklemeli Android kötü amaçlı yazılım uygulamaları
Malware Devs zaten Android 13'ün yeni güvenlik özelliğini atladı
Sova Malware, Android cihazlarını şifrelemek için fidye yazılımı özelliği ekler
Hackerlar Dracarys Android kötü amaçlı yazılımları değiştirilmiş sinyal uygulamasını kullanarak yükleyin
Facebook, Hackers tarafından kullanılan yeni Android kötü amaçlı yazılım bulur
Kaynak: Bleeping Computer