Банковское вредоносное ПО SharkBot проникло в Google Play Store, официальный репозиторий приложений для Android, выдавая себя за антивирус с возможностями очистки системы.
Хотя троянское приложение было далеко от популярности, его присутствие в Play Store показывает, что распространители вредоносных программ все еще могут обходить автоматическую защиту Google. Приложение все еще присутствует в магазине Google на момент написания статьи.
Зашнурованное Android-приложение, которое несет SharkBot
Сведения об издателе в Play StoreSharkBot был обнаружен в Google Play исследователями из NCC Group, которые сегодня опубликовали подробный технический анализ вредоносного ПО.
Что умеет SharkBot?
Вредоносное ПО было впервые обнаружено Cleafy в октябре 2021 года. Его наиболее значимой особенностью, которая отличала его от других банковских троянов, был перевод денег через системы автоматических переводов (ATS). Это стало возможным благодаря имитации касаний, щелчков и нажатий кнопок на взломанных устройствах.NCC сообщает , что функция денежных переводов по-прежнему доступна в последней версии, но используется только в некоторых случаях продвинутых атак.
Четыре основные функции в последней версии SharkBot:
- Внедрения (атака с наложением): SharkBot может украсть учетные данные, показывая веб-контент (WebView) с поддельным веб-сайтом для входа (фишинг), как только обнаружит открытое официальное банковское приложение.
- Кейлоггинг : Sharkbot может красть учетные данные, регистрируя события доступности (связанные с изменениями текстовых полей и нажатиями кнопок) и отправляя эти журналы на сервер управления и контроля (C2).
- Перехват SMS : Sharkbot может перехватывать/скрывать SMS-сообщения.
- Удаленное управление/ATS : Sharkbot имеет возможность получить полный удаленный контроль над устройством Android (через специальные службы).
Таким образом, SharkBot может определить, когда пользователь открывает банковское приложение, выполняет соответствующие веб-инъекции и крадет учетные данные пользователя.
Вредоносная программа также может получать команды от сервера C2 для выполнения различных действий, таких как:
- Отправить СМС на номер
- Сменить SMS-менеджера
- Скачать файл с указанного URL
- Получите обновленный файл конфигурации
- Удаление приложения с устройства
- Отключить оптимизацию батареи
- Показать фишинговый оверлей
- Активировать или остановить ATS
- Закройте определенное приложение (например, AV-инструмент), когда пользователь попытается его открыть.
