Advertisement
Phần mềm độc hại SharkBot lần đầu tiên được phát hiện vào tháng 10 năm ngoái và đã tiếp tục tồn tại với những cách mới để xâm nhập vào các ứng dụng ngân hàng và tiền điện tử trên Android.
Một phiên bản mới được nâng cấp của ứng dụng ngân hàng và tiền điện tử nhắm mục tiêu phần mềm độc hại gần đây đã xuất hiện trở lại trên cửa hàng Google Play, hiện có khả năng lấy cắp cookie từ thông tin đăng nhập tài khoản và bỏ qua các yêu cầu về dấu vân tay hoặc xác thực.
Một cảnh báo về phiên bản mới của phần mềm độc hại đã được nhà phân tích phần mềm độc hại Alberto Segura và nhà phân tích tình báo Mike Stokkel chia sẻ trên tài khoản Twitter vào ngày 2 tháng 9:
We discovered a new version of #SharkbotDropper in Google Play used to download and install #Sharkbot! The found droppers were used in a campaign targeting UK and IT! Great work @Mike_stokkel! https://t.co/uXt7qgcCXb
— Alberto Segura (@alberto__segura) September 2, 2022
Theo Segura, phiên bản mới của phần mềm độc hại đã được phát hiện vào ngày 22 tháng 8 và có thể thực hiện các cuộc tấn côn, đánh cắp dữ liệu thông qua keylogging, chặn tin nhắn SMS hoặc cung cấp cho các tác nhân đe dọa quyền kiểm soát từ xa hoàn toàn thiết bị chủ bằng cách lạm dụng Dịch vụ hỗ trợ.
Phiên bản phần mềm độc hại mới đã được tìm thấy trong hai ứng dụng Android – “Mister Phone Cleaner” và “Kylhavy Mobile Security với hơn 50.000 và 10.000 lượt tải xuống.
Hai ứng dụng ban đầu có thể xuất hiện trên Cửa hàng Play vì quá trình xem xét mã tự động của Google không phát hiện thấy bất kỳ mã độc hại nào, mặc dù sau đó nó đã bị xóa khỏi cửa hàng.
Một số nhà quan sát cho rằng người dùng đã cài đặt ứng dụng vẫn có thể gặp rủi ro và nên xóa ứng dụng theo cách thủ công.
Một phân tích chuyên sâu của công ty bảo mật Cleafy có trụ sở tại Ý cho thấy 22 mục tiêu đã được xác định bởi SharkBot, bao gồm năm sàn giao dịch tiền điện tử và một số ngân hàng quốc tế ở Hoa Kỳ, Vương quốc Anh và Ý.
Đối với phương thức tấn công của phần mềm độc hại, phiên bản trước đó của phần mềm độc hại SharkBot dựa vào quyền trợ năng để tự động thực hiện cài đặt phần mềm độc hại.
Nhưng phiên bản mới này khác ở chỗ nó yêu cầu nạn nhân cài đặt phần mềm dưới dạng bản cập nhật giả mạo.
Sau khi được cài đặt, nếu nạn nhân đăng nhập vào tài khoản ngân hàng hoặc tiền điện tử của họ, SharkBot có thể lấy cookie hợp lệ của họ thông qua lệnh “logsCookie”, về cơ bản bỏ qua bất kỳ phương pháp xác thực hoặc lấy dấu vân tay.
This is interesting!
Sharkbot Android malware is cancelling the "Log in with your fingerprint" dialogs so that users are forced to enter the username and password
(according to @foxit blog post) pic.twitter.com/fmEfM5h8Gu— Łukasz (@maldr0id) September 3, 2022
Phiên bản đầu tiên của phần mềm độc hại SharkBot lần đầu tiên được phát hiện bởi Cleafy vào tháng 10 năm 2021.
Theo phân tích đầu tiên của Cleafy về SharkBot, mục tiêu chính của SharkBot là chuyển tiền từ các thiết bị bị xâm nhập thông qua kỹ thuật Hệ thống chuyển tiền tự động (ATS) và bỏ qua cơ chế xác thực đa yếu tố.