بدافزار SharkBot که برنامه رمزگذاری را هدف قرار می دهد به فروشگاه برنامه گوگل باز می گردد
خانواده بدافزار SharkBot که اولین بار در اکتبر گذشته کشف شد، با روشهای جدیدی برای هک کردن برنامههای رمزنگاری و بانکی مبتنی بر اندروید کاربران به تکامل خود ادامه میدهد.
اخیراً، نسخه جدید و ارتقا یافته برنامه بانکداری و ارزهای دیجیتال با بدافزار در فروشگاه Google Play ظاهر شد. اکنون این قابلیت را دارد که کوکیها را از ورود به حساب کاربری بدزدد و الزامات اثر انگشت یا احراز هویت را دور بزند.
هشدار در مورد نسخه جدید بدافزار در تاریخ ۲ سپتامبر توسط تحلیلگر بدافزار آلبرتو سگورا و تحلیلگر هوش درمانی مایک استوککل در حساب های توییتر خود به اشتراک گذاشته شد و مقاله ای را در وبلاگ Fox IT به اشتراک گذاشتند.
نسخه جدیدی از #SharkbotDropper در Google Play برای دانلود و نصب استفاده می شود #کوسه رباتقطره چکان یافت شده در کمپین هایی که انگلستان و فناوری اطلاعات را هدف قرار می دهند استفاده شد.کارت عالی بود @Mike Stockel! https://t.co/uXt7qgcCXb
— آلبرتو سگورا (@alberto__segura) ۲ سپتامبر ۲۰۲۲
به گفته Segura، نسخه جدیدی از این بدافزار در ۲۲ آگوست کشف شد و “می تواند حملات همپوشانی انجام دهد، داده ها را از طریق keylogging سرقت کند، پیام های SMS را رهگیری کند و از خدمات دسترسی برای هدف قرار دادن عوامل تهدید سوء استفاده کند. به شما امکان می دهد کنترل کامل از راه دور میزبان خود را داشته باشید. دستگاه.”
نسخه جدید بدافزار در دو برنامه اندرویدی “Mister Phone Cleaner” و “Kylhavy Mobile Security” مشاهده شد که از آن زمان تاکنون به ترتیب ۵۰۰۰۰ و ۱۰۰۰۰ بار دانلود شده اند.
این دو برنامه ابتدا پس از بررسی خودکار کدهای گوگل هیچ کد مخربی را پیدا نکردند در فروشگاه Play لیست شدند. با این حال، از آن زمان از فروشگاه حذف شده است.
با این حال، ناظران پیشنهاد می کنند که ۶۰۰۰۰ کاربری که این برنامه را نصب کرده اند ممکن است همچنان در خطر باشند و باید برنامه را به صورت دستی حذف کنند.
تجزیه و تحلیل دقیق شرکت امنیتی Leafy مستقر در ایتالیا نشان داد که SharkBot 22 هدف را شناسایی کرده است. این شامل پنج صرافی ارزهای دیجیتال در ایالات متحده، بریتانیا و ایتالیا و همچنین تعدادی از بانک های بین المللی بود.
با توجه به حالت حمله بدافزار، نسخههای قبلی بدافزار SharkBot “برای نصب خودکار بدافزار SharkBot به مجوزهای دسترسی متکی بودند.”
با این حال، این نسخه جدید از این جهت متفاوت است که “از قربانیان درخواست می کند تا بدافزار را به عنوان یک به روز رسانی جعلی نصب کنند تا آنتی ویروس خود را در برابر تهدیدات محافظت کنند.”
در صورت نصب، هنگامی که قربانی به حساب بانکی یا ارز دیجیتال وارد میشود، SharkBot میتواند کوکیهای جلسه معتبر را از طریق دستور “logsCookie” بگیرد.
جالب است!
بدافزار اندروید Sharkbot "با اثر انگشت وارد شوید" دیالوگی که کاربر را مجبور می کند نام کاربری و رمز عبور را وارد کند
(مطابق با @foxit پست وبلاگ) pic.twitter.com/fmEfM5h8Gu— Ukash (@maldr0id) ۳ سپتامبر ۲۰۲۲
مربوط: اپلیکیشن جعلی گوگل ترنسلیت کریپتو ماینر را روی ۱۱۲۰۰۰ رایانه نصب می کند.
اولین نسخه بدافزار SharkBot اولین بار توسط Clafy در اکتبر ۲۰۲۱ مشاهده شد.
طبق تحلیل اولیه Cleafy از SharkBot، هدف اصلی آن «آغاز انتقال پول از دستگاههای در معرض خطر از طریق فناوری سیستم انتقال خودکار (ATS) بود که مکانیسمهای احراز هویت چند عاملی را دور میزند.
نویسنده: Brayden Lindrea
