SharkBot, un malware bancario sofisticado, ha sido visto una vez más en Google Play Store. El troyano, detectado por primera vez en noviembre de 2021, se disfraza como una aplicación antivirus con capacidades de limpieza del sistema. La última versión del malware SharkBot utiliza sistemas de transferencia automática (ATS) para transferir dinero abusando del permiso […]
SharkBot, un malware bancario sofisticado, ha sido visto una vez más en Google Play Store. El troyano, detectado por primera vez en noviembre de 2021, se disfraza como una aplicación antivirus con capacidades de limpieza del sistema.
La última versión del malware SharkBot utiliza sistemas de transferencia automática (ATS) para transferir dinero abusando del permiso de accesibilidad en los dispositivos y se otorga a sí mismo los permisos necesarios adicionales.
Por lo tanto, puede saber cuándo un usuario abre una aplicación bancaria para iniciar inyecciones web coincidentes y robar credenciales.
Funcionalidades clave
La última variante tiene cuatro funciones principales:
- Inyecciones
- Registro de teclas
- Interceptación de SMS
- Control remoto/ATS.
Las inyecciones ayudan al malware a robar credenciales mediante WebView utilizando un sitio web de inicio de sesión falso (phishing).
Usando capacidades de registro de teclas, roba credenciales al registrar eventos de accesibilidad y enviar registros al servidor C2.
Además, intercepta u oculta mensajes SMS al mismo tiempo que obtiene el control remoto total de un dispositivo Android a través de los Servicios de Accesibilidad.
SharkBot utiliza funciones de componentes relativamente nuevas para utilizar la función de respuesta directa para las notificaciones.
Esta función se utiliza para colocar cargas útiles ricas en funciones en el dispositivo infectado respondiendo con una URL de Bit.ly abreviada. La aplicación cuentagotas inicial tiene una versión ligera del malware para evitar la detección y el rechazo por parte de las tiendas de aplicaciones.
Con la función de respuesta automática, la versión completa de SharkBot con ATS se obtiene directamente del C2 y se instala automáticamente. Además, el C2 se basa en un DGA que dificulta la detección/bloqueo de los dominios emisores de comandos.
