Новая, полностью обновленная версия вредоносного ПО SharkBot вернулась в Google Play Store и нацелена на банковские учетные данные пользователей Android. Атаки проводятся с помощью соответствующих вредоносных приложений, доступных в магазине Google, сообщает издание Bleeping Computer.
По словам экспертов, вредонос SharkBot присутствовал в двух мобильных приложениях для Android, которые были «чисты» при отправке на автоматическую проверку в Google. Вредоносный код внедряется в приложение при обновлении, которое происходит после того, как пользователь устанавливает и запускает дроппер-приложения.
Согласно сообщению в блоге Fox IT, входящего в группу NCC, два вредоносных приложения с SharkBot — это Mister Phone Cleaner и Kylhavy Mobile Security, которые в совокупности имеют 60 тыс. скачиваний. Эти приложения уже были удалены из Google Play, но пользователи, которые их установили, по-прежнему находятся в опасности, и должны стереть их со своих смартфонов вручную.
Аналитики вредоносных программ из компании Cleafy обнаружили SharkBot в октябре 2021 года. В марте 2022 года NCC Group выявила первые приложения в Google Play, в которые был этот вредоносный код интегрирован. Тогда вредонос мог выполнять оверлейные атаки, красть данные с помощью кейлоггинга, перехватывать SMS-сообщения или предоставлять злоумышленникам полный удаленный контроль над хост-устройством, злоупотребляя службами специальных возможностей.
В мае 2022 года эксперты из ThreatFabric обнаружили SharkBot версии 2.0 с алгоритмом генерации домена (DGA), обновленным протоколом связи и полностью переработанным кодом. 22 августа специалисты из Fox IT выявили новую версию вредоносного ПО (2.25), в которую добавлена возможность красть файлы cookie при входе пользователя в онлайн-банкинг. Помимо этого, новые приложения-дропперы не злоупотребляют службами специальных возможностей, как это было раньше.
После установки приложение-дроппер связывается с сервером управления и контроля (C2), запрашивая вредоносный APK-файл SharkBot. Затем дроппер уведомляет пользователя о том, что доступно обновление, и просит его установить APK, предоставить все необходимые разрешения.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.
