Los investigadores de ciberseguridad sacaron el lunes las envolturas de un nuevo troyano de Android que aprovecha las funciones de accesibilidad en los dispositivos móviles para desviar las credenciales de los servicios bancarios y de criptomonedas en Italia, el Reino Unido y los EE. UU.
Apodado » SharkBot » por Cleafy, el malware está diseñado para atacar un total de 27 objetivos, contando 22 bancos internacionales no identificados en Italia y el Reino Unido, así como cinco aplicaciones de criptomonedas en los EE. UU., Al menos desde fines de octubre de 2021 y se cree que es en sus primeras etapas de desarrollo, sin superposiciones con el de ninguna familia conocida.
El objetivo principal de SharkBot es iniciar transferencias de dinero desde los dispositivos comprometidos a través de la técnica de Sistemas de transferencia automática (ATS) sin pasar por los mecanismos de autenticación de múltiples factores (por ejemplo, SCA)
dijeron los investigadores en un informe.
«Una vez que SharkBot se instala con éxito en el dispositivo de la víctima, los atacantes pueden obtener información bancaria confidencial mediante el abuso de los Servicios de accesibilidad, como credenciales, información personal, saldo actual, etc., pero también para realizar gestos en el dispositivo infectado».
Enmascarado como reproductor multimedia , televisión en vivo, o aplicaciones de recuperación de datos, SharkBot, al igual que su otro homólogos de malware TeaBot y ubel , pide repetidamente a los usuarios deshonestos ventanas emergentes para otorgarle permisos de ancho más que a robar información sensible. Donde se destaca es la explotación de la configuración de accesibilidad para llevar a cabo ataques ATS, que permiten a los operadores «autocompletar campos en aplicaciones legítimas de banca móvil e iniciar transferencias de dinero desde los dispositivos comprometidos a una red de mulas de dinero controlada por el [actor de amenazas ]. »
El modus operandi evita efectivamente la necesidad de registrar un nuevo dispositivo para realizar actividades fraudulentas, al mismo tiempo que pasa por alto los mecanismos de autenticación de dos factores establecidos por las aplicaciones bancarias.
Además, el malware viene con varias características que ahora se observan en todos los troyanos bancarios de Android , como la capacidad de realizar ataques de superposición para robar credenciales de inicio de sesión e información de tarjetas de crédito, interceptar comunicaciones bancarias legítimas enviadas a través de SMS, habilitar el registro de teclas y obtener un control remoto completo. de los dispositivos comprometidos.
SharkBot también se destaca por los pasos que toma para evadir el análisis y la detección, incluida la ejecución de comprobaciones del emulador, el cifrado de las comunicaciones de comando y control con un servidor remoto y la ocultación del icono de la aplicación en la pantalla de inicio después de la instalación. No se han detectado muestras del malware en la tienda oficial de Google Play, lo que implica que las aplicaciones maliciosas se instalan en los dispositivos de los usuarios, ya sea a través de sistemas de descarga lateral o de ingeniería social.
El descubrimiento de SharkBot en la naturaleza muestra «cómo los malwares móviles están encontrando rápidamente nuevas formas de realizar fraudes, tratando de eludir las contramedidas de detección de comportamiento implementadas por múltiples bancos y servicios financieros durante los últimos años», dijeron los investigadores.
Fuente: https://thehackernews.com