針對惡意軟件的銀行和加密應用程序的新升級版本最近重新出現在Google Play 商店中,現在能夠從帳戶登錄中竊取cookie 並繞過指紋或身份驗證要求。
9 月2 日,惡意軟件分析師Alberto Segura 和情報分析師Mike Stokkel 在Twitter 賬戶上分享了有關新版本惡意軟件的警告,並在Fox IT 博客上分享了他們共同撰寫的文章。
我們發現了一個新版本 #SharkbotDropper 在Google Play 中用於下載和安裝 #鯊魚機器人!發現的滴管用於針對英國和IT 的活動!做得好 @Mike_stokkel! https://t.co/uXt7qgcCXb
— 阿爾貝托·塞古拉(@alberto__segura) 2022 年9 月2 日
根據Segura 的說法,新版本的惡意軟件於8 月22 日被發現,它可以“執行覆蓋攻擊、通過鍵盤記錄竊取數據、攔截SMS 消息,或通過濫用輔助功能服務讓威脅參與者完全遠程控制主機設備。 ”
新的惡意軟件版本出現在兩個Android 應用程序中——“Mister Phone Cleaner”和“Kylhavy Mobile Security”,它們的下載量分別為50,000 和10,000 次。
這兩個應用程序最初能夠進入Play 商店,因為谷歌的自動代碼審查沒有檢測到任何惡意代碼,儘管它已經從商店中刪除。
一些觀察人士建議,安裝了這些應用程序的用戶可能仍然面臨風險,應該手動刪除這些應用程序。
意大利安全公司Cleafy 的深入分析發現,SharkBot 已確定22 個目標,其中包括5 家加密貨幣交易所和美國、英國和意大利的多家國際銀行。
至於惡意軟件的攻擊方式,較早版本的SharkBot 惡意軟件“依靠可訪問權限自動執行dropper SharkBot 惡意軟件的安裝”。
但這個新版本的不同之處在於它“要求受害者安裝惡意軟件作為防病毒軟件的虛假更新,以抵禦威脅。”
安裝後,如果受害者登錄他們的銀行或加密帳戶,SharkBot 能夠通過命令“logsCookie”獲取他們的有效會話cookie,這基本上繞過了所使用的任何指紋或身份驗證方法。
這是有趣的!
Sharkbot Android 惡意軟件正在取消“使用指紋登錄”對話框,從而強制用戶輸入用戶名和密碼
(根據 @foxit 博文) pic.twitter.com/fmEfM5h8Gu— Łukasz (@maldr0id) 2022 年9 月3 日
SharkBot 惡意軟件的第一個版本是 發現 由Cleafy 於2021 年10 月發布。
有關的: 偷偷摸摸的假谷歌翻譯應用程序在112,000 台PC 上安裝了加密礦工
根據Cleafy 對SharkBot 的首次分析,SharkBot 的主要目標是“通過繞過多因素身份驗證機制的自動轉賬系統(ATS) 技術從受感染設備發起資金轉賬”。