Los especialistas en seguridad informática de Fox IT descubrieron dos aplicaciones en Google Play Store que distribuyen el troyano SharkBot: Mister Phone Cleaner y Kylhavy Mobile Security se instalaron más de 60,000 veces en total.
Déjame recordarte que escribimos eso. Investigadores encontrados 35 Malware activado Google Play, Total instalado 2,000,000 Veces, y también eso Mandrágora El malware estuvo escondido en Google Play durante más de cuatro años.
Déjame recordarte que en la primavera de este año., Grupo NCC Los expertos ya lo advirtieron. acerca de tiburónbot. Dijeron que el malware suele disfrazarse de antivirus, en realidad robando dinero de los usuarios que instalaron la aplicación. tiburónbot, como sus homólogos tébot, FluBot, y oscorp (UBÉL), pertenece a la categoría de troyanos bancarios capaces de robar credenciales de dispositivos pirateados y eludir los mecanismos de autenticación multifactor. Por primera vez, El malware fue descubierto por expertos en el otoño de 2021.
El informe del Grupo NCC enfatizó que el sello distintivo de SharkBot es su capacidad para realizar transacciones no autorizadas a través del Sistema de Transferencia Automática. (ETA) sistemas, cual, Por ejemplo, lo distingue de TeaBot, que requiere que los dispositivos infectados realicen acciones maliciosas en la interacción con un operador en vivo.
Como zorro eso Los expertos ahora escriben., Las aplicaciones detectadas esta vez no contienen código malicioso listo para usar., y gracias a esto lograron engañar nuevamente a los controles de Google. SharkBot se infiltra en las víctimas’ dispositivos con una de las actualizaciones que se produce después de que el usuario instala e inicia la aplicación cuentagotas.
En mayo 2022, investigadores de AmenazaTejido escribió sobre la llegada de SharkBot 2, que reveló un DGA, un protocolo de comunicación actualizado, y un código completamente rediseñado. Como señalan los expertos de Fox IT, También descubrieron y estudiaron una nueva versión del malware. (2.25), en el que apareció la posibilidad de robar cookies, y no hubo abuso de los Servicios de Accesibilidad, como era antes.
Ahora, Después de la instalación, la aplicación del gotero contacta con el servidor de control, solicitando el archivo APK malicioso SharkBot. Luego, el dropper notifica al usuario que hay una actualización disponible y le pide a la víctima que instale el APK y le otorgue todos los permisos necesarios.. Para dificultar la autodetección, SharkBot almacena la configuración codificada y cifrada con RC4.
En general, tiburónbot 2.25 todavía usa superposiciones, intercepta SMS, Puede controlar el dispositivo de forma remota y contiene un registrador de teclas., pero ahora se ha agregado la función de robo de cookies a todo esto.. Así que, cuando la víctima inicia sesión en su cuenta bancaria, SharkBot intercepta la cookie de sesión con un nuevo comando (registrosCookie) y envía el archivo a sus operadores.
Los investigadores escriben que las nuevas campañas de SharkBot se dirigen a países de Europa. (España, Austria, Alemania, Polonia, Austria) y los estados unidos. Se observa que el malware utiliza cada vez más un registrador de teclas en sus ataques y roba información confidencial directamente desde las ventanas de aplicaciones reales..
