针对恶意软件的银行和加密应用程序的新升级版本最近重新出现在 Google Play 商店中,现在能够从帐户登录中窃取 cookie 并绕过指纹或身份验证要求。
9 月 2 日,恶意软件分析师 Alberto Segura 和情报分析师 Mike Stokkel 在 Twitter 账户上分享了有关新版本恶意软件的警告,并在 Fox IT 博客上分享了他们共同撰写的文章。
我们发现了一个新版本 #SharkbotDropper 在 Google Play 中用于下载和安装 #鲨鱼机器人! 发现的滴管用于针对英国和 IT 的活动! 做得好 @Mike_stokkel! https://t.co/uXt7qgcCXb
— 阿尔贝托·塞古拉 (@alberto__segura) 2022 年 9 月 2 日
根据 Segura 的说法,新版本的恶意软件于 8 月 22 日被发现,它可以“执行覆盖攻击、通过键盘记录窃取数据、拦截 SMS 消息,或通过滥用辅助功能服务让威胁者完全远程控制主机设备。 ”
新的恶意软件版本出现在两个 Android 应用程序中——“Mister Phone Cleaner”和“Kylhavy Mobile Security”,它们的下载量分别为 50,000 和 10,000 次。
这两个应用程序最初能够进入 Play 商店,因为谷歌的自动代码审查没有检测到任何恶意代码,尽管它已经从商店中删除。
一些观察人士建议,安装了这些应用程序的用户可能仍然面临风险,应该手动删除这些应用程序。
意大利安全公司 Cleafy 的深入分析发现,SharkBot 已确定 22 个目标,其中包括 5 家加密货币交易所以及美国、英国和意大利的多家国际银行。
至于恶意软件的攻击方式,较早版本的 SharkBot 恶意软件“依靠可访问权限自动执行 dropper SharkBot 恶意软件的安装”。
但这个新版本的不同之处在于它“要求受害者安装恶意软件作为防病毒软件的虚假更新,以抵御威胁。”
安装后,如果受害者登录他们的银行或加密帐户,SharkBot 能够通过命令“logsCookie”获取他们的有效会话 cookie,这基本上绕过了所使用的任何指纹或身份验证方法。
这是有趣的!
Sharkbot Android 恶意软件正在取消“使用指纹登录”对话框,从而强制用户输入用户名和密码
(根据 @foxit 博文) pic.twitter.com/fmEfM5h8Gu— Łukasz (@maldr0id) 2022 年 9 月 3 日
2021 年 10 月,Cleafy 首次发现了 SharkBot 恶意软件的第一个版本。
有关的: 偷偷摸摸的假谷歌翻译应用程序在 112,000 台 PC 上安装了加密矿工
根据 Cleafy 对 SharkBot 的首次分析,SharkBot 的主要目标是“通过绕过多因素身份验证机制的自动转账系统 (ATS) 技术从受感染设备发起资金转账”。
