SharkBot 恶意软件的新升级版本已返回 Google 的 Play 商店,目标是通过安装数万次的应用程序登录 Android 用户的银行业务。
该恶意软件存在于两个 Android 应用程序中,这些应用程序在提交给 Google 的自动审查时没有任何恶意代码。
但是,SharkBot 是在用户安装并启动 dropper 应用程序后发生的更新中添加的。
根据 NCC 集团旗下 Fox IT 的一篇博客文章,这两个恶意应用程序是“Mister Phone Cleaner”和“Kylhavy Mobile Security”,安装量总计 60,000 次。
放弃 SharkBot (Fox IT)的两个应用程序
这两个应用程序已从 Google Play 中删除,但安装它们的用户仍面临风险,应手动删除它们。
SharkBot 进化
意大利在线欺诈管理和预防公司 Cleafy 的恶意软件分析师于 2021 年 10 月发现了 SharkBot。2022 年 3 月,NCC 集团在 Google Play 上发现了首批搭载它的应用程序。
那时,恶意软件可以执行覆盖攻击、通过键盘记录窃取数据、拦截 SMS 消息,或通过滥用辅助功能服务让威胁者完全远程控制主机设备。
2022 年 5 月,ThreatFabric的研究人员发现 了带有域生成算法 (DGA)、更新的通信协议和完全重构的代码的 SharkBot 2。
Fox IT 的研究人员于 8 月 22 日发现了该恶意软件的新版本 (2.25),它增加了从银行帐户登录中窃取 cookie 的功能。
此外,新的 dropper 应用程序不会像以前那样滥用辅助功能服务。
“滥用可访问权限,dropper 能够自动单击 UI 中显示的所有按钮来安装 Sharkbot。但在这个新版本的 Sharkbot 滴管中,情况并非如此,” Fox IT“dropper 会向 C2 服务器发出请求,直接接收 Sharkbot 的 APK 文件。它不会收到下载链接以及使用“自动传输系统”(ATS) 功能安装恶意软件的步骤,通常情况下会这样做,”Fox IT 说。
用于下载 SharkBot (Fox IT)的加密 POST 请求
安装后,dropper 应用程序会联系请求恶意 SharkBot APK 文件的命令和控制 (C2) 服务器。然后,dropper 会提醒用户有可用更新,并要求他们安装 APK 并授予所有必需的权限。
为了使自动检测更加困难,SharkBot 使用 RC4 算法以加密形式存储其硬编码配置。爱吃饼干的鲨鱼
SharkBot 2.25 上仍然存在覆盖、短信拦截、远程控制和键盘记录系统,但在它们之上添加了一个 cookie 记录器。
窃取 cookie 的新功能 (Fox IT)
当受害者登录他们的银行账户时,SharkBot 会使用一个新命令(“logsCookie”)获取他们的有效会话 cookie 并将其发送到 C2。
Cookie 对于接管帐户很有价值,因为它们包含有助于绕过指纹检查的软件和位置参数,或者在某些情况下,还包括用户身份验证令牌本身。
在调查期间,Fox IT 在欧洲(西班牙、奥地利、德国、波兰、奥地利)和美国观察到新的 SharkBot 活动。研究人员注意到,恶意软件在这些攻击中使用了键盘记录功能,并直接从它的官方应用程序中窃取敏感信息目标。
随着该恶意软件的改进版本可用,Fox IT 预计 SharkBot 活动将继续进行,并且该恶意软件会不断发展。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » SharkBot恶意软件潜入Google Play窃取您的登录信息
