U antivirusnim aplikacijama u Google Play prodavnici otkriven opasni bankarski trojanac

Mobilni telefoni, 07.03.2022, 11:00 AM

Bankarski trojanac SharkBot uspeo je da prođe bezbednosne barijere Google Play prodavnice maskiran u nekoliko antivirusnih aplikacija.

SharkBot spada u kategoriju bankarskih trojanaca koji mogu da pokrenu transfera novca sa kompromitovanih uređaja zaobilazeći mehanizme višefaktorske autentifikacije. Malver je prvi put primećen u novembru 2021.

Ono po čemu se SharkBot razlikuje od trojanaca iz ove kategorije, kao što su TeaBot i FluBot, je njegova sposobnost da izvrši neovlašćene transakcije putem sistema za automatski prenos (ATS), koji omogućava napadačima da automatski prebacuju novac sa računa žrtve, bez potrebe za ljudskom intervenijom. Za razliku od njega, TeaBot, na primer, zahteva živog operatera koji komunicira sa zaraženim uređajima da bi se izvršile zlonamerne aktivnosti.

„ATS funkcije omogućavaju malveru da dobije listu događaja koji će biti simulirani, a oni će biti simulirani kako bi se izvršio transfer novca“, rekli su analitičari malvera u kompaniji za sajber bezbednost NCC Group, u izveštaju objavljenom prošle nedelje u kome su detaljno objasnili kako SharkBot funkcioniše i kako je uspeo da izbegne bezbednosne mere Play prodavnice.

„Pošto se ove funkcije mogu koristiti za simulaciju dodira odnosno klikova i pritiska na dugme, mogu se iskoristiti ne samo za automatski transfer novca, već i za instaliranje drugih zlonamernih aplikacija ili komponenti.“

Drugim rečima, ATS se koristi da se obmanu sistemi za otkrivanje prevara banke simulacijom istog niza radnji koje bi korisnik izvršio, kao što su pritiskanje tastera i klikovi, kako bi se izvršio nezakonit transfer novca.

Najnovija verzija malvera primećena u Google Play prodavnici 28. februara u brojnim aplikacijama koje koriste Androidovu funkciju direktnog odgovora da bi se širile na druge uređaje. SharkBot je posle FluBota drugi bankarski trojanac koji presreće obaveštenja kako bi ih iskoristio za nove napade.

Zlonamerne aplikacije, koje su inače sve ažurirane 10. februara, instalirane su oko 57.000 puta. Reč je o aplikacijama Antivirus, Super Cleaner (com.abbondioendrizzi.antivirus.supercleaner) koja ima više od 1.000 instalacija, Atom Clean-Booster, Antivirus (com.abbondioendrizzi.tools.supercleaner) koja je instalirana više od 500 puta, Alpha Antivirus, Cleaner (com.pagnotto28.sellsourcecode.alpha) sa više od 5.000 instalacija i Powerful Cleaner, Antivirus (com.pagnotto28.sellsourcecode.supercleaner) koja ima više od 50.000 instalacija. Sve ove aplikacije u trenutku objavljivanja ovog teksta i dalje se nalaze u Google Play prodavnici.

Ove zlonamerne aplikacije za koje su oni koji su ih preuzeli mislili da su antivirusne aplikacije, kriju redukovanu verziju SharkBota, koji se zatim ažurira preuzimanjem opasne verzije malvera koja će primeniti razne taktike za krađu novca sa računa žrtava.

SharkBot je takođe bogat funkcijama koje mu omogućavaju da izvrši “napad preklapanja” u trenutku kada otkrije da je aplikacija banke aktivna. Ekran koji izgleda kao aplikacija banke prekriva legitimnu aplikaciju banke tako da će podaci koje unese korisnik biti poslati na servere pod kontrolom napadača. Malver može da evidentira pritiske tastera i dobije potpunu daljinsku kontrolu nad uređajima, ali tek nakon što mu žrtve daju dozvole za usluge pristupačnosti.

Otkriće SharkBota u Play prodavnici desilo se samo nekoliko dana nakon što su istraživači iz kompanije Cleafy otkrili novu verziju TeaBota u Googleovoj prodavnici aplikacija za Android, koja je dizajnirana za napade na korisnike više od 400 aplikacija banaka iz celog sveta.