El malware SharkBot se infiltra nuevamente en Google Play Store

SharkBot on the Google Play Store

Los especialistas en seguridad informática de Fox IT descubrieron dos aplicaciones en Google Play Store que distribuyen el troyano SharkBot: Mister Phone Cleaner y Kylhavy Mobile Security se instalaron más de 60,000 veces en total.

Déjame recordarte que escribimos eso. Investigadores encontrados 35 Malware activado Google Play, Total instalado 2,000,000 Veces, y también eso Mandrágora El malware estuvo escondido en Google Play durante más de cuatro años.

Déjame recordarte que en la primavera de este año., Grupo NCC Los expertos ya lo advirtieron. acerca de tiburónbot. Dijeron que el malware suele disfrazarse de antivirus, en realidad robando dinero de los usuarios que instalaron la aplicación. tiburónbot, como sus homólogos tébot, FluBot, y oscorp (UBÉL), pertenece a la categoría de troyanos bancarios capaces de robar credenciales de dispositivos pirateados y eludir los mecanismos de autenticación multifactor. Por primera vez, El malware fue descubierto por expertos en el otoño de 2021.

SharkBot en Google Play Store

El informe del Grupo NCC enfatizó que el sello distintivo de SharkBot es su capacidad para realizar transacciones no autorizadas a través del Sistema de Transferencia Automática. (ETA) sistemas, cual, por ejemplo, lo distingue de TeaBot, que requiere que los dispositivos infectados realicen acciones maliciosas en la interacción con un operador en vivo.

Como zorro eso Los expertos ahora escriben., Las aplicaciones detectadas esta vez no contienen código malicioso listo para usar., y gracias a esto lograron engañar nuevamente a los controles de Google. SharkBot se infiltra en las víctimas’ dispositivos con una de las actualizaciones que se produce después de que el usuario instala e inicia la aplicación cuentagotas.

En mayo 2022, investigadores de AmenazaTejido escribió sobre la llegada de SharkBot 2, que reveló un DGA, un protocolo de comunicación actualizado, y un código completamente rediseñado. Como señalan los expertos de Fox IT, También descubrieron y estudiaron una nueva versión del malware. (2.25), en el que apareció la posibilidad de robar cookies, y no hubo abuso de los Servicios de Accesibilidad, como era antes.

Abusando de los derechos de los Servicios de Accesibilidad, el cuentagotas podría hacer clic automáticamente en todos los botones correctos en la interfaz de usuario para instalar Sharkbot. Sin embargo, en la nueva versión del cuentagotas, Todo es diferente. Ahora el cuentagotas envía una solicitud al servidor de administración para obtener el archivo APK de Sharkbot directamente. No recibe un enlace de descarga junto con instrucciones para instalar malware utilizando sistemas de transferencia automática. (ETA), como solía hacer.Los analistas de TI de Fox dicen.

Ahora, Después de la instalación, la aplicación del gotero contacta con el servidor de control, solicitando el archivo APK malicioso SharkBot. Luego, el dropper notifica al usuario que hay una actualización disponible y le pide a la víctima que instale el APK y le otorgue todos los permisos necesarios.. Para dificultar la autodetección, SharkBot almacena la configuración codificada y cifrada con RC4.

En general, tiburónbot 2.25 todavía usa superposiciones, intercepta SMS, Puede controlar el dispositivo de forma remota y contiene un registrador de teclas., pero ahora se ha agregado la función de robo de cookies a todo esto.. Así que, cuando la víctima inicia sesión en su cuenta bancaria, SharkBot intercepta la cookie de sesión con un nuevo comando (registrosCookie) y envía el archivo a sus operadores.

SharkBot en Google Play Store

Los investigadores escriben que las nuevas campañas de SharkBot se dirigen a países de Europa. (España, Austria, Alemania, Polonia, Austria) y los estados unidos. Se observa que el malware utiliza cada vez más un registrador de teclas en sus ataques y roba información confidencial directamente desde las ventanas de aplicaciones reales..

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *