SharkBot Android Trojan
Los investigadores han descubierto una operación de ataque que involucra a un nuevo troyano de Android llamado SharkBot. La amenaza se está desplegando en varios países y regiones geográficas. El objetivo de los atacantes es recopilar información confidencial de sus víctimas, como las credenciales de la cuenta y los detalles de pago. Las versiones actuales de SharkBot son capaces de suplantar y afectar a 27 aplicaciones específicas. De ellos, 22 pertenecen a bancos de Italia y el Reino Unido, mientras que 5 son aplicaciones de criptomonedaslicaciones de los EE. UU.
Funcionalidad amenazante
SharkBot no presenta ninguna superposición con las familias de troyanos bancarios móviles existentes y se cree que es una amenaza personalizada que aún se encuentra en desarrollo activo. Es capaz de realizar las acciones intrusivas habituales asociadas a este tipo de malware. Al explotar los servicios legítimos de accesibilidad de Android, puede realizar ataques de superposición al mostrar pantallas de inicio de sesión falsas para las aplicaciones específicas y luego desviar la información ingresada. Además, SharkBot puede interceptar los mensajes SMS en el dispositivo violado, establecer rutinas de registro de teclas, etc.
Sin embargo, el objetivo principal de SharkBot es iniciar transferencias de dinero en los dispositivos infectados. Al emplear una técnica de sistemas de transferencia automática (ATS), puede contrarrestar varios mecanismos de autenticación de múltiples factoresexitosamente. El ataque ATS permite a los ciberdelincuentes realizar transferencias de dinero completando automáticamente los campos obligatorios de la aplicación de banca móvil legítima.comunicaciones y luego transferir los fondos de la víctima a una red de mulas de dinero.
SharkBot también tiene un sólido conjunto de técnicas de evasión y anti-detección. Realiza múltiples comprobaciones de los emuladores que se ejecutan en el dispositivo y, al mismo tiempo, oculta su propio icono de la pantalla de inicio. La comunicación de la amenaza con su servidor Command-and-Control (C2, C&C) está cifrada con un algoritmo sólido.
Distribución
La amenaza se propaga a través de una aplicación armada.licaciones que pretenden ofrecer funciones útiles. La aplicaciónLas comunicaciones pueden hacerse pasar por reproductores multimedia, herramientas de recuperación de datos o aplicaciones.licaciones que ofrecen servicios de transmisión y televisión en vivo. Cabe señalar que hasta ahora ninguna de las aplicaciones SharkBotLas comunicaciones han logrado violar la seguridad de Google Play Store. En cambio, lo más probable es que los atacantes dependan de aplicaciones de terceros.plataformas de comunicación, técnicas de carga lateral o engañar a los usuarios mediante diversas tácticas de ingeniería social.
