Ứng dụng tiền điện tử nhắm mục tiêu phần mềm độc hại SharkBot xuất hiện trên cửa hàng ứng dụng Google

Họ phần mềm độc hại SharkBot lần đầu tiên được phát hiện vào tháng 10 năm ngoái và đã tiếp tục phát triển với những cách mới để xâm nhập vào các ứng dụng ngân hàng và tiền điện tử dựa trên Android của người dùng.

Một phiên bản mới được nâng cấp của ứng dụng ngân hàng và tiền điện tử nhắm mục tiêu phần mềm độc hại gần đây đã xuất hiện trở lại trên cửa hàng Google Play, hiện có khả năng lấy cắp cookie từ thông tin đăng nhập tài khoản và bỏ qua các yêu cầu về dấu vân tay hoặc xác thực.

Một cảnh báo về phiên bản mới của phần mềm độc hại đã được nhà phân tích phần mềm độc hại Alberto Segura và nhà phân tích tình báo Mike Stokkel chia sẻ trên tài khoản Twitter vào ngày 2 tháng 9, chia sẻ bài viết đồng tác giả của họ trên blog Fox IT.

We discovered a new version of #SharkbotDropper in Google Play used to download and install #Sharkbot! The found droppers were used in a campaign targeting UK and IT! Great work @Mike_stokkel! https://t.co/uXt7qgcCXb

— Alberto Segura (@alberto__segura) September 2, 2022

Theo Segura, phiên bản mới của phần mềm độc hại đã được phát hiện vào ngày 22 tháng 8 và có thể thực hiện các cuộc tấn công lớp phủ, đánh cắp dữ liệu thông qua keylogging, chặn tin nhắn SMS hoặc cung cấp cho các tác nhân đe dọa quyền kiểm soát từ xa hoàn toàn thiết bị chủ bằng cách lạm dụng Dịch vụ hỗ trợ tiếp cận.

Phiên bản phần mềm độc hại mới đã được tìm thấy trong hai ứng dụng Android - Mister Phone Cleaner và Kylhavy Mobile Security, kể từ đó đã thu được 50.000 và 10.000 lượt tải xuống tương ứng.

Hai ứng dụng ban đầu có thể xuất hiện trên Cửa hàng Play vì quá trình xem xét mã tự động của Google không phát hiện thấy bất kỳ mã độc hại nào. Tuy nhiên, nó đã bị xóa khỏi cửa hàng.

Tuy nhiên, 60.000 người dùng đã cài đặt ứng dụng vẫn có thể gặp rủi ro và nên xóa ứng dụng theo cách thủ công, theo các nhà quan sát.

Một phân tích chuyên sâu của công ty bảo mật Leafy có trụ sở tại Ý cho thấy 22 mục tiêu đã được xác định bởi SharkBot, bao gồm 5 nền tảng giao dịch tiền điện tử và một số ngân hàng quốc tế ở Mỹ, Anh và Ý.

Đối với phương thức tấn công của phần mềm độc hại, phiên bản trước của phần mềm độc hại SharkBot dựa vào quyền trợ năng để tự động thực hiện cài đặt phần mềm độc hại SharkBot nhỏ giọt.

Nhưng phiên bản mới này khác ở chỗ nó yêu cầu nạn nhân cài đặt phần mềm độc hại dưới dạng bản cập nhật giả để phần mềm chống vi-rút luôn được bảo vệ trước các mối đe dọa.

Nếu được cài đặt, sau khi nạn nhân đăng nhập vào tài khoản ngân hàng hoặc tiền điện tử của họ, SharkBot có thể lấy cookie phiên hợp lệ của họ thông qua lệnh logsCookie, về cơ bản bỏ qua bất kỳ phương pháp xác thực hoặc lấy dấu vân tay nào được sử dụng.

This is interesting!
Sharkbot Android malware is cancelling the "Log in with your fingerprint" dialogs so that users are forced to enter the username and password
(according to @foxit blog post) pic.twitter.com/fmEfM5h8Gu

— Łukasz (@maldr0id) September 3, 2022

Phiên bản đầu tiên của phần mềm độc hại SharkBot lần đầu tiên được phát hiện bởi Cleafy vào tháng 10 năm 2021.

Theo phân tích đầu tiên của Cleafy trên SharkBot, mục tiêu chính của SharkBot là bắt đầu chuyển tiền từ các thiết bị bị xâm nhập thông qua kỹ thuật Hệ thống chuyển tiền tự động (ATS) bỏ qua cơ chế xác thực đa yếu tố.

Theo CoinTelegraph