Недавно в магазине Google Play появилась обновленная версия банковского и криптовалютного приложения, нацеленного на вредоносное ПО. Теперь оно способно красть файлы cookie при входе в аккаунт и обходить требования отпечатков пальцев или аутентификации.

Предупреждением о новой версии вредоносной программы поделились 2 сентября в Twitter аналитик по вредоносным программам Альберто Сегура (Alberto Segura) и аналитик по сбору информации Майк Стоккель (Mike Stokkel), поделившись статьей, написанной ими в соавторстве в блоге Fox IT`s.

Мы обнаружили новую версию #SharkbotDropper в Google Play, используемую для загрузки и установки #Sharkbot! Найденные дропперы были использованы в кампании, направленной на Великобританию и IT! Отличная работа @Mike_stokkel! https://t.co/uXt7qgcCXb

- Альберто Сегура (@alberto__segura) 2 сентября 2022 г.

По словам Сегуры, новая версия вредоносной программы была обнаружена 22 августа и может "выполнять атаки оверлея, красть данные с помощью кейлоггинга, перехватывать SMS-сообщения или предоставлять субъектам угрозы полный удаленный контроль над главным устройством путем злоупотребления службами доступности".

Новая версия вредоносной программы была обнаружена в двух приложениях для Android - "Mister Phone Cleaner" и "Kylhavy Mobile Security", которые с тех пор набрали 50 000 и 10 000 загрузок соответственно.

Эти два приложения изначально попали в Play Store, поскольку автоматизированная проверка кода Google не обнаружила вредоносного кода. Однако затем они были удалены из магазина.

Однако 60 000 пользователей, установивших эти приложения, все еще могут быть подвержены риску и должны удалить их вручную, считают наблюдатели. 

Углубленный анализ, проведенный итальянской компанией по безопасности Leafy, показал, что SharkBot определил 22 цели, среди которых были пять криптовалютных бирж и ряд международных банков в США, Великобритании и Италии.

Что касается способа атаки, ранняя версия вредоносной программы SharkBot "полагалась на разрешения доступа, чтобы автоматически выполнить установку вредоносной программы-дроппера SharkBot".

Но эта новая версия отличается тем, что "просит жертву установить вредоносную программу в качестве поддельного обновления для антивируса, чтобы оставаться защищенной от угроз".

После установки, как только жертва войдет в свой банковский или криптовалютный аккаунт, SharkBot сможет перехватить ее действующий сессионный cookie с помощью команды "logsCookie", что позволяет обойти любые используемые методы дактилоскопии или аутентификации.

Это интересно!
Вредоносная программа Sharkbot для Android отменяет диалоговые окна "Войти в систему с помощью отпечатка пальца", так что пользователи вынуждены вводить имя пользователя и пароль
(согласно сообщению в блоге @foxit) pic.twitter.com/fmEfM5h8Gu

- Łukasz (@maldr0id) 3 сентября 2022 г.

Первая версия вредоносной программы SharkBot была впервые обнаружена компанией Cleafy в октябре 2021 года.

Согласно первому анализу Cleafy о SharkBot, основной целью SharkBot было "инициировать денежные переводы со взломанных устройств через автоматические системы перевода (ATS) в обход механизмов многофакторной аутентификации".

Источник