💬 Крипто-приложение, нацеленное на вредоносное ПО SharkBot, вновь появляется в магазине приложений Google от 2022-09-05

Крипто-приложение, нацеленное на вредоносное ПО SharkBot, вновь появляется в магазине приложений Google

Недавно в магазине Google Play появилась обновленная версия банковского и криптографического приложения, предназначенного для борьбы с вредоносными программами. Теперь она может красть файлы cookie при входе в учетную запись и обходить требования аутентификации или отпечатков пальцев.

Предупреждение о новой версии вредоносного ПО было опубликовано аналитиком по вредоносным программам Альберто Сегурой и аналитиком отдела разведки Майком Стоккелем в аккаунтах Twitter 2 сентября, когда они поделились своей статьей в соавторстве с блогом Fox IT.

Мы обнаружили новую версию #SharkbotDropper в Google Play, используемую для загрузки и установки #Sharkbot! Найденные дропперы использовались в кампании, ориентированной на Великобританию и IT! Отличная работа @Mike_stokkel! https://t.co/uXt7qgcCXb — Альберто Сегура (@alberto__segura) 2 сентября 2022 г.

По данным Segura, новая версия вредоносного ПО была обнаружена 22 августа и может «выполнять оверлейные атаки, красть данные с помощью кейлогинга, перехватывать SMS-сообщения или предоставлять злоумышленникам полный удаленный контроль над хост-устройством, злоупотребляя Службы специальных возможностей».

Новая версия вредоносного ПО была обнаружена в двух приложениях для Android — «Mister Phone Cleaner» и «Kylhavy Mobile Security», которые с тех пор были загружены соответственно 50 000 и 10 000 раз.

Изначально эти два приложения смогли попасть в Play Маркет, поскольку автоматическая проверка кода Google не обнаружила вредоносного кода. Однако с тех пор он был удален из магазина.

Однако 60 000 пользователей, установивших приложения, все еще могут подвергаться риску, и им следует удалить приложения вручную, считают наблюдатели.

Углубленный анализ, проведенный итальянской охранной фирмой Leafy, показал, что SharkBot выявил 22 цели, включая пять криптовалютных бирж и ряд международных банков в США, Великобритании и Италии.

Что касается способа атаки вредоносного ПО, более ранняя версия вредоносного ПО SharkBot «полагалась на разрешения доступа для автоматической установки вредоносного ПО SharkBot-дроппера».

Но эта новая версия отличается тем, что она «просит жертву установить вредоносное ПО как поддельное обновление для антивируса, чтобы оставаться защищенным от угроз».

Если установлено, как только жертва входит в свою банковскую или криптографическую учетную запись, SharkBot может получить их действительный файл cookie сеанса с помощью команды «logsCookie», которая фактически обходит любые используемые методы снятия отпечатков пальцев или аутентификации.

Это интересно! Вредоносное ПО Sharkbot для Android отменяет диалоги «Войти с помощью отпечатка пальца», чтобы пользователи были вынуждены вводить имя пользователя и пароль (согласно сообщению в блоге @foxit) pic.twitter.com/fmEfM5h8Gu — Лукаш (@maldr0id) 3 сентября 2022 г.

По теме: Поддельное приложение Google Translate устанавливает крипто-майнер на 112 000 ПК

Первая версия вредоносного ПО SharkBot была впервые обнаружена компанией Cleafy в октябре 2021 года.

Согласно первому анализу SharkBot, проведенному Cleafy, основной целью SharkBot было «инициировать денежные переводы со взломанных устройств с помощью технологии автоматических систем переводов (ATS) в обход механизмов многофакторной аутентификации».