安裝SharkBot Android銀行特洛伊木馬時抓獲虛假防病毒和清潔應用程序
臭名昭著的安卓銀行特洛伊木馬SharkBot偽裝成防病毒和更干凈的應用程序,再次出現在谷歌Play商店。
NCC集團的Fox IT在一份報告中說:“這種新的dropper不依賴于可訪問權限來自動執行dropper Sharkbot惡意軟件的安裝”。“相反,新版本要求受害者安裝惡意軟件,作為防病毒軟件的假更新,以防止受到威脅”。
問題中的應用程序Mister Phone Cleaner和Kylhavy Mobile Security之間安裝了60000多個應用程序,其設計目標是西班牙、澳大利亞、波蘭、德國、美國和奧地利的用戶-
- 手機清潔器先生(com.mbkristine8.cleanmaster,50000+下載)
- Kylhavy移動安全(com.Kylhavy.antivirus,10000+下載)
Dropper被設計用于丟棄新版SharkBot,由荷蘭安全公司ThreatFabric命名為V2,其特點是更新的指揮和控制(C2)通信機制、域生成算法(DGA)和完全重構的代碼庫。
Fox IT表示,它在2022年8月22日發現了一個更新的版本2.25,該版本引入了一個功能,當受害者登錄其銀行賬戶時,可以虹吸Cookie,同時還取消了自動回復帶有惡意軟件傳播鏈接的傳入消息的能力。
通過避免安裝SharkBot的可訪問性許可,這一發展突出表明,運營商正在積極調整技術,以避免被發現,更不用說面對谷歌新施加的限制,尋找替代方法,以減少API的濫用。
其他值得注意的信息竊取能力包括注入假覆蓋以獲取銀行賬戶憑證、記錄擊鍵、攔截短信以及使用自動轉賬系統(ATS)進行欺詐性資金轉賬。
毫不奇怪,惡意軟件構成了一種不斷演變和無所不在的威脅,盡管蘋果和谷歌不斷努力,但應用程序商店很容易在不知不覺中被濫用以進行分發,這些應用程序的開發人員想盡一切辦法逃避安全檢查。
研究人員阿爾貝托·塞古拉(Alberto Segura)和邁克·斯托克爾(Mike Stokkel)表示:“到目前為止,SharkBot的開發者似乎一直在關注滴管,以便在最近的活動中繼續使用谷歌Play Store分發惡意軟件”。
