首页 > 安全 > 正文

Sharkbot,新一代银行木马通过播放商店分发

最后更新 :2022.03.08

Sharkbot 银行恶意软件能够逃避谷歌播放商店安全检查,伪装为防病毒应用程序。

Sharkbot是一家自2021年10月以来一直活跃的银行业特洛伊州,它允许窃取银行账户凭据和绕过多因素身份验证机制。

Malware在10月底发现了Cyber Security公司拼写和威胁特征的研究人员,该名称是在用于其命令和控制服务器的域之一之后。

恶意软件是观察到意大利,英国和美国银行的移动用户。特洛伊木马允许劫持用户的移动设备,并从网上银行和加密货币窃取资金。

Sharkbot能够通过自动传输系统(ATS)进行未经授权的事务,这是一个高级攻击技术,在Android恶意软件中罕见。。

ATS使攻击者能够在legi中自动填充字段TIMATE移动银行应用程序和发起货币转移,没有实时操作员干预才能授权交易。该技术允许恶意软件接收要模拟的事件列表,允许攻击者自动化和扩展其操作。

ATS功能允许恶意软件接收要模拟的事件列表,并将模拟它们以便进行货币转移。阅读NCC组发布的报告。由于此功能可用于模拟触摸/点击按钮,因此它不仅可以自动转移金钱而且安装其他恶意应用程序或组件。

专家发现了Sharkbot Trojan的减少版本官方的Google Play商店,它只包括最小所需功能,如ATS,允许它安装完整版的特洛伊木马。

sharkbot banking Trojan

恶意软件通过Google Play Store分发作为假的防病毒,它滥用“直接回复”Android功能,以便自动发送回复通知用消息来下载假防毒栏应用程序。 最近在另一个名为NBSP的银行恶意软件中看到了滥用直接回复功能的扩展策略;由威胁特定发现。 Sharkbot允许在Android中窃取银行凭据以下技术,其中大多数请求受害者启用 可访问性权限和amp;服务:注射(叠加攻击):Sharkbot可以通过在网站(网络钓鱼)中显示官方银行应用程序已打开的网站(网络钓鱼)来窃取凭证.KeyLogging:Sharkbot可以通过记录可访问性窃取凭据事件(与文本字段更改和按钮相关的按钮)并将这些日志发送到命令和控制服务器(C2).sms拦截:  sharkbot有能力拦截/隐藏sms消息.Remote Control / ATS:Sharkbot有能力获取Android设备的完全远程控制(通过辅助功能服务)。 NCC集团专家已为此威胁进行妥协指标,包括上传到Google Play商店的受污染应用程序列表已经下载了数万次:防病毒,超级清洁剂 (com.abbondioendrizzi.antivirus.supercleaner)Atom Clean-Booster,Antivirus (Com.abbondioEndrizzi.Tools.Supercleaner)Alpha Antivirus,Cleaner (Com.Pagnotto28。sellsourcecode.alpha)强大的清洁器,防病毒和nbsp;(com.pagnotto28.sellsourcecode.supercleaner)sharkbot的一个独特部分之一是它使用称为自动转移系统(ATS)的技术。ATS是Android银行恶意软件使用的一种相对较新的技术。结束了报告。总结ATS可以与WebInject进行比较,只能提供不同的目的。然后,然后收集用于使用/比例的凭据它使用自动凭据Y启动端点本身上的电线传输(因此不需要登录并绕过2FA或其他防欺诈措施)。

- END -

看更多