El troyano bancario SharkBot reaparece en Google Play Store escondido detrás de 7 nuevas aplicaciones

Hasta siete aplicaciones maliciosas de Android fueron descubiertas en Google Play Store, las cuales se hicieron pasar por soluciones antivirus para implementar un troyano bancario llamado SharkBot. “SharkBot roba credenciales e información bancaria”, dijeron los investigadores de Check Point Alex Shamshur y Raman Ladutska en un informe compartido con The Hacker News. “Este malware implementa […]

Hasta siete aplicaciones maliciosas de Android fueron descubiertas en Google Play Store, las cuales se hicieron pasar por soluciones antivirus para implementar un troyano bancario llamado SharkBot.

“SharkBot roba credenciales e información bancaria”, dijeron los investigadores de Check Point Alex Shamshur y Raman Ladutska en un informe compartido con The Hacker News. “Este malware implementa una característica de geofencing y técnicas de evasión, lo que lo hace destacar del resto de malwares”.

En particular, el malware está diseñado para ignorar a los usuarios de China, India, Rumania, Rusia, Ucrania y Bielorrusia. Se dice que las aplicaciones maliciosas se instalaron más de 15.000 veces antes de su eliminación, y la mayoría de las víctimas se encuentran en Italia y el Reino Unido.

El informe complementa los hallazgos anteriores de NCC Group, que encontró que el robot bancario se hacía pasar por aplicaciones antivirus para realizar transacciones no autorizadas a través de Sistemas de transferencia automática (ATS).

SharkBot aprovecha los permisos de los Servicios de accesibilidad de Android para presentar ventanas superpuestas falsas sobre aplicaciones bancarias legítimas. Por lo tanto, cuando los usuarios ingresan sus nombres de usuario y contraseñas (en las ventanas que imitan los formularios), los datos capturados se envían a un servidor malicioso.

Una nueva característica notable de SharkBot es su capacidad de responder automáticamente a las notificaciones de Facebook Messenger y WhatsApp para distribuir un enlace de phishing a la aplicación antivirus, propagando así el malware como un gusano. Una función similar se incorporó en FluBot a principios de febrero.

“Con todo, el uso de mensajes push por parte de los actores de amenazas que solicitan una respuesta de los usuarios es una técnica de difusión inusual”.

Los últimos hallazgos se producen cuando Google tomó medidas para desterrar 11 aplicaciones de Play Store el 25 de marzo después de que se descubriera que incorporaban un SDK invasivo para recopilar discretamente datos de usuarios, incluida información precisa de ubicación, correo electrónico y números de teléfono, dispositivos cercanos y contraseñas.