SharkBot – новый Android-троян, крадущий банковские и криптовалютные счета

Исследователи по кибербезопасности из Cleafy и ThreatFabric обнаружили новый банковский троян для Android под названием SharkBot. Вредоносная программа активна как минимум с конца октября 2021 года и нацелена на мобильных пользователей банков в Италии, Великобритании и США. Троян позволяет захватывать мобильные устройства пользователей и красть средства из онлайн-банкинга и ккриптовалютных счетов.

После установки банковского трояна на устройство жертвы, злоумышленники могут украсть конфиденциальную банковскую информацию, злоупотребив службами доступности. Например, учетные данные для входа, личную информацию, текущий баланс и т. д.

SharkBot реализует оверлейные атаки для кражи учетных данных и информации о кредитной карте. На момент написания SharkBot, похоже, имел очень низкий уровень обнаружения антивирусными решениями, поскольку вредоносная программа реализует несколько методов анти-анализа, включая процедуру обфускации строк, обнаружение эмулятора и алгоритм генерации домена (DGA).

Исследователи опубликовали свой анализ:

«SharkBot принадлежит к «новому» поколению мобильных вредоносных программ, так как он может выполнять ATS-атаки внутри зараженного устройства. Этот прием недавно уже был замечен в других банковских троянах, таких как Gustuff. ATS (система автоматического перевода) — это продвинутая методика атаки (довольно новая для Android), которая позволяет злоумышленникам автоматически заполнять поля в законных мобильных банковских приложениях и инициировать денежные переводы со взломанных устройств.

Обнаружив SharkBot, мы продемонстрировали новые доказательства того, как мобильные вредоносные программы быстро находят новые способы совершения мошенничества, пытаясь обойти контрмеры поведенческого обнаружения, введенные несколькими банками и финансовыми службами в течение последних лет».

Метод SharkBot позволяет автоматизировать эти действия, сводя к минимуму вмешательство пользователя. Троян может читать и скрывать SMS, полученные от зараженного пользователя, что позволяет злоумышленникам перехватывать двухфакторную аутентификацию, отправляемую банком через SMS.

Наблюдается быстрая эволюция в области мобильных устройств в направлении более сложных шаблонов, таких как атаки ATS. Эксперты не обнаружили образцов вредоносного ПО в официальном магазине Google Play, они отметили, что вредоносный код доставляется на устройства пользователей с использованием как техники боковой загрузки, так и схем социальной инженерии.