De dreigingsactor achter een ontluikende Android banking trojan genaamd SharkBot is erin geslaagd om de beveiligingsbarrières van de Google Play Store te omzeilen door zich voor te doen als een antivirus-app.
SharkBot, net als zijn malware-tegenhangers TheeBot, flubot en oscorp (UBEL), behoort tot een categorie financiële trojans die in staat zijn om inloggegevens over te hevelen om geldoverdrachten van gecompromitteerde apparaten te starten door multi-factor authenticatiemechanismen te omzeilen. Het verscheen voor het eerst op het toneel in november 2021.
Waar SharkBot zich onderscheidt, is het vermogen om ongeautoriseerde transacties uit te voeren via Automatic Transfer Systems (ATS), wat in tegenstelling staat tot TeaBot, waarbij een live-operator moet communiceren met de geïnfecteerde apparaten om de kwaadaardige activiteiten uit te voeren.
"Dankzij de ATS-functies kan de malware een lijst met gesimuleerde gebeurtenissen ontvangen, en deze worden gesimuleerd om de geldoverdrachten uit te voeren", aldus Alberto Segura en Rolf Govers, malware-analisten bij cyberbeveiligingsbedrijf NCC Group, zei in een rapport dat vorige week werd gepubliceerd.
"Aangezien deze functies kunnen worden gebruikt om aanrakingen/klikken en het indrukken van knoppen te simuleren, kan het niet alleen worden gebruikt om automatisch geld over te maken, maar ook om andere kwaadaardige applicaties of componenten te installeren."
Met andere woorden, ATS wordt gebruikt om de fraudedetectiesystemen van de beoogde bank te misleiden door dezelfde reeks acties te simuleren die de gebruiker zou uitvoeren, zoals het indrukken van een knop, klikken en gebaren, om de illegale geldoverdracht uit te voeren.
De nieuwste versie die op 28 februari in de Google Play Store is gespot, zijn een aantal dropper-apps die ook gebruikmaken van de Direct Reply-functionaliteit van Android om zichzelf naar andere apparaten te verspreiden, waardoor het de tweede banktrojan is na flubot om meldingen voor wormbare aanvallen te onderscheppen.
De lijst met kwaadaardige apps, die allemaal op 10 februari zijn bijgewerkt, zijn tot nu toe gezamenlijk ongeveer 57,000 keer geïnstalleerd –
SharkBot is ook rijk aan functies omdat het de tegenstander in staat stelt om frauduleuze overlays te injecteren bovenop officiële bank-apps om inloggegevens te stelen, toetsaanslagen te loggen en volledige controle op afstand over de apparaten te krijgen, maar alleen nadat de slachtoffers hem toestemming hebben gegeven voor Accessibility Services.
De bevindingen komen een week nadat onderzoekers van Cleafy bekendgemaakt details van een nieuwe TeaBot-variant in de Play Store die is ontworpen om gebruikers van meer dan 400 bank- en financiële apps te targeten, waaronder die uit Rusland, China en de VS
