SharkBot kötü amaçlı yazılımının yeni ve yükseltilmiş bir sürümü Google Play Store’a geri döndü ve on binlerce yüklemeye sahip uygulamalar aracılığıyla Android kullanıcılarının bankacılık oturum açmalarını hedef aldı.
Kötü amaçlı yazılım, Google’ın otomatik incelemesine gönderildiğinde herhangi bir kötü amaçlı kod içermeyen iki Android uygulamasında mevcuttu.
Ancak, SharkBot, kullanıcı dropper uygulamalarını yükledikten ve başlattıktan sonra gerçekleşen bir güncellemeye eklenir.
NCC Group’un bir parçası olan Fox IT tarafından yayınlanan bir blog gönderisine göre, iki kötü amaçlı uygulama “Mister Phone Cleaner” ve “Kylhavy Mobile Security”, topluca 60.000 yüklemeyi sayıyor.
İki uygulama Google Play’den kaldırıldı, ancak bunları yükleyen kullanıcılar hala risk altındadır ve bunları manuel olarak kaldırmaları gerekir.
SharkBot gelişti
İtalyan bir çevrimiçi dolandırıcılık yönetimi ve önleme şirketi olan Cleafy’deki kötü amaçlı yazılım analistleri, Ekim 2021’de SharkBot’u keşfetti. Mart 2022’de NCC Group, Google Play’de onu taşıyan ilk uygulamalar.
O zaman, kötü amaçlı yazılım, üst üste saldırılar gerçekleştirebilir, keylogging yoluyla verileri çalabilir, SMS mesajlarını engelleyebilir veya Erişilebilirlik Hizmetlerini kötüye kullanarak tehdit aktörlerine ana cihazın tam uzaktan kontrolünü verebilir.
Mayıs 2022’de araştırmacılar, ThreatFabric, SharkBot 2’yi gördü Bu, bir etki alanı oluşturma algoritması (DGA), güncellenmiş bir iletişim protokolü ve tamamen yeniden düzenlenmiş bir kodla birlikte geldi.
Fox IT’deki araştırmacılar, 22 Ağustos’ta kötü amaçlı yazılımın (2.25) yeni bir sürümünü keşfetti ve bu, banka hesabı girişlerinden çerez çalma yeteneği ekledi.
Ek olarak, yeni dropper uygulamaları, Erişilebilirlik Hizmetlerini daha önce olduğu gibi kötüye kullanmıyor.
“Erişilebilirlik izinlerini kötüye kullanan dropper, Sharkbot’u yüklemek için kullanıcı arayüzünde gösterilen tüm düğmeleri otomatik olarak tıklayabildi. Ancak Sharkbot için damlalığın bu yeni versiyonunda durum böyle değil.” Fox BT
“Damlalık, bunun yerine C2 sunucusuna Sharkbot’un APK dosyasını doğrudan alması için bir istekte bulunacaktır. Fox IT, “Otomatik Aktarım Sistemleri” (ATS) özelliklerini kullanarak kötü amaçlı yazılımı yükleme adımlarıyla birlikte bir indirme bağlantısı almayacak,” diyor Fox IT.
Dropper uygulaması yüklendikten sonra, kötü amaçlı SharkBot APK dosyasını talep eden komut ve kontrol (C2) sunucusuyla bağlantı kurar. Dropper daha sonra kullanıcıyı bir güncellemenin mevcut olduğu konusunda uyarır ve APK’yı yüklemesini ve gerekli tüm izinleri vermesini ister.
Otomatik algılamayı daha zor hale getirmek için SharkBot, sabit kodlanmış yapılandırmasını RC4 algoritmasını kullanarak şifreli biçimde saklar.
Kurabiye seven köpek balığı
Yer paylaşımı, SMS engelleme, uzaktan kontrol ve tuş kaydetme sistemleri SharkBot 2.25’te hala mevcuttur, ancak bunların üzerine bir çerez kaydedici eklenmiştir.
Kurban banka hesabında oturum açtığında, SharkBot yeni bir komut (“logsCookie”) kullanarak geçerli oturum çerezlerini kapar ve bunu C2’ye gönderir.
Çerezler, parmak izi kontrollerini veya bazı durumlarda kullanıcı kimlik doğrulama belirtecinin kendisini atlamaya yardımcı olan yazılım ve konum parametreleri içerdiklerinden, hesapları devralmak için değerlidir.
Soruşturma sırasında Fox IT, Avrupa’da (İspanya, Avusturya, Almanya, Polonya, Avusturya) ve ABD’de yeni SharkBot kampanyalarını gözlemledi. hedefler.
Mevcut kötü amaçlı yazılımın geliştirilmiş bir sürümüyle Fox IT, SharkBot kampanyalarının devam etmesini ve kötü amaçlı yazılımın evrimini bekliyor.