Эксперты NCC Group сообщили о вредоносе SharkBot, которого обнаружили в Google Play Store. Малварь маскировалась под антивирусы, на самом деле похищая деньги у установивших приложение пользователей.
SharkBot, как и его аналоги TeaBot, FluBot и Oscorp (UBEL), относится к категории банковских троянов, способных похищать учетные данные со взломанных устройств и обходить механизмы многофакторной аутентификации. Впервые малварь появилась на сцене еще в ноябре 2021 года.
Отличительной чертой SharkBot является его способность выполнять несанкционированные транзакции через системы автоматического перевода средств (Automatic Transfer System, ATS), что, к примеру, отличает его от TeaBot, который требует, чтобы с зараженными устройствами для выполнения вредоносных действий взаимодействовал живой оператор.
В данном случае злоумышленники используют ATS для обмана систем обнаружения мошенничества, имитируя ту последовательности действий, которая должна выполняться настоящим пользователем, например, нажатия кнопок, клики и жесты, необходимые для осуществления денежного перевода.
Обнаруженная в магазине Google Play Store 28 февраля 2022 года малварь, представляла собой ряд приложений-дропперов, которые использовали функцию Android Direct Reply для распространения на другие устройства, что сделало SharkBot вторым банковским трояном после FluBot, который использовал такой способ распространения и обладал возможностями червя.
Кроме того, SharkBot многофункционален и позволяет атакующему внедрять оверлеи поверх настоящих банковских приложений и воровать таким образом учетные данные, перехватывать нажатия клавиш и устанавливать полный удаленный контроль над устройствами. Но все это становится возможным лишь в том случае, если жертва даст малвари право использовать Accessibility Services.
Вредонос скрывался в следующих приложениях, суммарно установленных более 57 000 раз:
- Antivirus, Super Cleaner (com.abbondioendrizzi.antivirus.supercleaner) – 1000+ установок;
- Atom Clean-Booster, Antivirus (com.abbondioendrizzi.tools.supercleaner) – 500+ установок;
- Alpha Antivirus, Cleaner (com.pagnotto28.sellsourcecode.alpha) – 5000+ установок;
- Powerful Cleaner, Antivirus (com.pagnotto28.sellsourcecode.supercleaner) – 50 000+ установок.
