05/09/22
Новая, обновленная версия вредоносной программы SharkBot вернулась в Google Play Store, пишет Securitylab. Вредонос нацелен на банковские данные пользователей, которые устанавливают с виду безобидные приложения, которые на самом деле являются дропперами для SharkBot.
Согласно сообщению в блоге Fox IT, подразделения NCC Group, двумя вредоносными приложениями являются "Mister Phone Cleaner" и "Kylhavy Mobile Security", которые в совокупности имеют 60 000 загрузок. И хотя эти два приложения были удалены из Google Play, пользователи, установившие их, все еще находятся в зоне риска.
22 августа исследователи из Fox IT обнаружили новую версию SharkBot (2.25), которая позволяет злоумышленникам с помощью новой команды “logsCookie” красть сессионные cookie-файлы, когда жертва входит в системы банковских счетов.
По словам специалистов, в более старых версиях дроппер устанавливает SharkBot, нажимая на кнопки в пользовательском интерфейсе. Однако новая версия дроппера для SharkBot делает запрос на C&C-сервер злоумышленников, чтобы получить APK-файл вредоноса.
Как только APK-файл загружался на устройство жертвы, дроппер уведомляет пользователя о наличии обновления и призывает установить загруженный файл, а затем предоставить все необходимые разрешения.
Чтобы усложнить обнаружения, SharkBot хранит свою конфигурацию в зашифрованном виде с использованием алгоритма RC4.
В ходе расследования IT-специалисты Fox IT обнаружили, что вредоносная кампания с использованием SharkBot направлена на Испанию, Австрию, Германию, Польшу и Австрию, а также США. Эксперты ожидают, что кампаний с использованием SharkBot будет еще больше, поскольку новая версия вредоноса активно распространяется среди злоумышленников.
