بدافزار SharkBot که برنامه رمزگذاری را هدف قرار می دهد به فروشگاه برنامه گوگل باز می گردد

خانواده بدافزار SharkBot که اولین بار در اکتبر گذشته کشف شد، با روش‌های جدیدی برای هک کردن برنامه‌های رمزنگاری و بانکی مبتنی بر اندروید کاربران به تکامل خود ادامه می‌دهد.

اخیراً، نسخه جدید و ارتقا یافته برنامه بانکداری و ارزهای دیجیتال با بدافزار در فروشگاه Google Play ظاهر شد. اکنون این قابلیت را دارد که کوکی‌ها را از ورود به حساب کاربری بدزدد و الزامات اثر انگشت یا احراز هویت را دور بزند.

هشدار در مورد نسخه جدید بدافزار در تاریخ ۲ سپتامبر توسط تحلیلگر بدافزار آلبرتو سگورا و تحلیلگر هوش درمانی مایک استوککل در حساب های توییتر خود به اشتراک گذاشته شد و مقاله ای را در وبلاگ Fox IT به اشتراک گذاشتند.

نسخه جدیدی از #SharkbotDropper در Google Play برای دانلود و نصب استفاده می شود #کوسه رباتقطره چکان یافت شده در کمپین هایی که انگلستان و فناوری اطلاعات را هدف قرار می دهند استفاده شد.کارت عالی بود @Mike Stockel! https://t.co/uXt7qgcCXb

— آلبرتو سگورا (@alberto__segura) ۲ سپتامبر ۲۰۲۲

به گفته Segura، نسخه جدیدی از این بدافزار در ۲۲ آگوست کشف شد و “می تواند حملات همپوشانی انجام دهد، داده ها را از طریق keylogging سرقت کند، پیام های SMS را رهگیری کند و از خدمات دسترسی برای هدف قرار دادن عوامل تهدید سوء استفاده کند. به شما امکان می دهد کنترل کامل از راه دور میزبان خود را داشته باشید. دستگاه.”

نسخه جدید بدافزار در دو برنامه اندرویدی “Mister Phone Cleaner” و “Kylhavy Mobile Security” مشاهده شد که از آن زمان تاکنون به ترتیب ۵۰۰۰۰ و ۱۰۰۰۰ بار دانلود شده اند.

این دو برنامه ابتدا پس از بررسی خودکار کدهای گوگل هیچ کد مخربی را پیدا نکردند در فروشگاه Play لیست شدند. با این حال، از آن زمان از فروشگاه حذف شده است.

با این حال، ناظران پیشنهاد می کنند که ۶۰۰۰۰ کاربری که این برنامه را نصب کرده اند ممکن است همچنان در خطر باشند و باید برنامه را به صورت دستی حذف کنند.

تجزیه و تحلیل دقیق شرکت امنیتی Leafy مستقر در ایتالیا نشان داد که SharkBot 22 هدف را شناسایی کرده است. این شامل پنج صرافی ارزهای دیجیتال در ایالات متحده، بریتانیا و ایتالیا و همچنین تعدادی از بانک های بین المللی بود.

با توجه به حالت حمله بدافزار، نسخه‌های قبلی بدافزار SharkBot “برای نصب خودکار بدافزار SharkBot به مجوزهای دسترسی متکی بودند.”

با این حال، این نسخه جدید از این جهت متفاوت است که “از قربانیان درخواست می کند تا بدافزار را به عنوان یک به روز رسانی جعلی نصب کنند تا آنتی ویروس خود را در برابر تهدیدات محافظت کنند.”

در صورت نصب، هنگامی که قربانی به حساب بانکی یا ارز دیجیتال وارد می‌شود، SharkBot می‌تواند کوکی‌های جلسه معتبر را از طریق دستور “logsCookie” بگیرد.

جالب است!
بدافزار اندروید Sharkbot "با اثر انگشت وارد شوید" دیالوگی که کاربر را مجبور می کند نام کاربری و رمز عبور را وارد کند
(مطابق با @foxit پست وبلاگ) pic.twitter.com/fmEfM5h8Gu

— Ukash (@maldr0id) ۳ سپتامبر ۲۰۲۲

مربوط: اپلیکیشن جعلی گوگل ترنسلیت کریپتو ماینر را روی ۱۱۲۰۰۰ رایانه نصب می کند.

اولین نسخه بدافزار SharkBot اولین بار توسط Clafy در اکتبر ۲۰۲۱ مشاهده شد.

طبق تحلیل اولیه Cleafy از SharkBot، هدف اصلی آن «آغاز انتقال پول از دستگاه‌های در معرض خطر از طریق فناوری سیستم انتقال خودکار (ATS) بود که مکانیسم‌های احراز هویت چند عاملی را دور می‌زند.

نویسنده: Brayden Lindrea