Il malware SharkBot torna di soppiatto su Google Play per rubare i tuoi accessi
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 5 Settembre 2022
Tags: #malware, #sharkbot, #googleplay
Tags: #malware, #sharkbot, #googleplay
Il malware SharkBot torna di soppiatto su Google Play per rubare i tuoi accessi
Il malware SharkBot è tornato su Google Play per rubare i tuoi accessi
Una versione nuova e aggiornata del malware SharkBot è tornata sul Play Store di Google, prendendo di mira gli accessi bancari degli utenti Android tramite app che hanno decine di migliaia di installazioni.
Il malware era presente in due app Android che non presentavano alcun codice dannoso quando inviate alla revisione automatica di Google.
Tuttavia, SharkBot viene aggiunto in un aggiornamento che si verifica dopo che l'utente ha installato e avviato le dropper app.
Secondo un post sul blog di Fox IT, parte del gruppo NCC, le due app dannose sono "Mister Phone Cleaner" e "Kylhavy Mobile Security", che contano collettivamente 60.000 installazioni.
Le due applicazioni sono state rimosse da Google Play, ma gli utenti che le hanno installate sono ancora a rischio e dovrebbero rimuoverle manualmente.
SharkBot si è evoluto
Gli analisti di malware di Cleafy, una società italiana di gestione e prevenzione delle frodi online, hanno scoperto SharkBot nell'ottobre 2021. Nel marzo 2022, NCC Group ha trovato le prime app che lo trasportano su Google Play.
A quel tempo, il malware potrebbe eseguire attacchi overlay, rubare dati tramite keylogging, intercettare messaggi SMS o fornire agli attori delle minacce il controllo remoto completo del dispositivo host abusando dei servizi di accessibilità.
Nel maggio 2022, i ricercatori di ThreatFabric hanno individuato SharkBot 2 dotato di un algoritmo di generazione del dominio (DGA), un protocollo di comunicazione aggiornato e un codice completamente rifattorizzato.
I ricercatori di Fox IT hanno scoperto una nuova versione del malware (2.25) il 22 agosto, che aggiunge la capacità di rubare i cookie dagli accessi ai conti bancari.
Inoltre, le nuove dropper app non abusano dei servizi di accessibilità come facevano prima.
"Abusando dei permessi di accessibilità, il dropper è stato in grado di fare clic automaticamente su tutti i pulsanti mostrati nell'interfaccia utente per installare Sharkbot. Ma questo non è il caso in questa nuova versione del dropper per Sharkbot", Fox IT
“Il dropper, invece, farà una richiesta al server C2 per ricevere direttamente il file APK di Sharkbot. Non riceverà un collegamento per il download insieme ai passaggi per installare il malware utilizzando le funzionalità "Automatic Transfer Systems" (ATS), cosa che normalmente faceva", afferma Fox IT.
Una volta installata, la dropper app contatta il server di comando e controllo (C2) richiedendo il file APK SharkBot dannoso. Il dropper avviserà, quindi, l'utente che è disponibile un aggiornamento e chiede di installare l'APK e di concedere tutte le autorizzazioni richieste.
Per rendere più difficile il rilevamento automatico, SharkBot memorizza la sua configurazione hardcoded in forma crittografata utilizzando l'algoritmo RC4.
Squalo amante dei cookie
I sistemi di overlay, intercettazione SMS, telecomando e keylogging sono ancora presenti su SharkBot 2.25, ma sopra di essi è stato aggiunto un cookie logger.
Quando la vittima accede al proprio conto bancario, SharkBot estrae il cookie di sessione valido utilizzando un nuovo comando ("logsCookie") e lo invia al C2.
I cookie sono preziosi per il controllo degli account perché contengono software e parametri di posizione che aiutano a bypassare i controlli delle impronte digitali o, in alcuni casi, lo stesso token di autenticazione dell'utente.
Durante l'indagine, Fox IT ha osservato nuove campagne SharkBot in Europa (Spagna, Austria, Germania, Polonia, Austria) e negli Stati Uniti. I ricercatori hanno notato che il malware utilizza in questi attacchi la funzione di keylogging e ruba le informazioni sensibili direttamente dall'app ufficiale. obiettivi.
Con una versione migliorata del malware disponibile, Fox IT si aspetta che le campagne SharkBot continuino e un'evoluzione del malware.