ИБ-специалисты из компании Fox IT обнаружили в Google Play Store два приложения, которые распространяют трояна SharkBot: Mister Phone Cleaner и Kylhavy Mobile Security суммарно были установлены более 60 000 раз.
Напомню, что весной текущего года о SharkBot уже предупреждали эксперты NCC Group. Они рассказывали, что малварь обычно маскируется под антивирусы, на самом деле похищая деньги у установивших приложение пользователей. SharkBot, как и его аналоги TeaBot, FluBot и Oscorp (UBEL), относится к категории банковских троянов, способных похищать учетные данные со взломанных устройств и обходить механизмы многофакторной аутентификации. Впервые малварь была обнаружена специалистами еще осенью 2021 года.
В отчете NCC Group подчеркивалось, что отличительной чертой SharkBot является его способность выполнять несанкционированные транзакции через системы автоматического перевода средств (Automatic Transfer System, ATS), что, к примеру, отличает его от TeaBot, который требует, чтобы с зараженными устройствами для выполнения вредоносных действий взаимодействовал живой оператор.
Как теперь пишут эксперты Fox IT, обнаруженные на этот раз приложения не содержат вредоносный код сразу «из коробки», и именно благодаря этому им удалось вновь обмануть проверки Google. SharkBot проникает на устройства жертв вместе с одним из обновлений, которое происходит уже после того, как пользователь устанавливает и запускает приложение-дроппер.
Еще в мае 2022 года исследователи из ThreatFabric писали о появлении SharkBot 2, в котором обнаружился DGA, обновленный протокол связи и полностью переработанный код. Как отмечают специалисты Fox IT, они так же обнаружили и изучили новую версию малвари (2.25), в которой появилась возможность хищения файлов cookie, и отсутствует злоупотребление Accessibility Services, как это было раньше.
«Злоупотребляя правами Accessibility Services, дроппер мог автоматически нажать на все нужные кнопки пользовательского интерфейса для установки Sharkbot. Однако в новой версии дроппера все не так. Теперь дроппер отправляет запрос на управляющий сервер, чтобы напрямую получить APK-файл Sharkbot. Он не получает ссылку для скачивания вместе с инструкциями по установке малвари с использованием Automatic Transfer Systems (ATS), как это происходило обычно», — рассказывают аналитики Fox IT.
Теперь после установки приложение-дроппер связывается с управляющим сервером, запрашивая вредоносный APK-файл SharkBot. Затем дроппер уведомляет пользователя о том, что доступно обновление, и просит жертву установить APK и предоставить ему все необходимые разрешения. Чтобы затруднить автоматическое обнаружение, SharkBot хранит жестко закодированную конфигурацию в зашифрованном виде с использованием RC4.
В целом SharkBot 2.25 по-прежнему использует оверлеи, перехватывает SMS, может управлять устройством удаленно и содержит кейлоггер, но теперь ко всему этому еще добавилась функция хищения файлов cookie. Так, когда жертва входит в учетную запись своего банка, SharkBot перехватывает файл cookie сеанса с помощью новой команды (logsCookie) и отправляет файл своим операторам.
Исследователи пишут, что новые кампании SharkBot нацелены на страны в Европы (Испания, Австрия, Германия, Польша, Австрия) и США. Отмечается, что малварь все чаще задействует в атаках кейлоггер и ворует конфиденциальную информацию прямо из окон настоящих приложений.