В конце октября исследователи кибербезопасности из Cleafy обнаружили вредоносное ПО, с помощью которого можно снимать средства из банковских приложений на Android-телефонах в обход многофакторной аутентификации.
SharkBot — этомодульное вредоносное ПО, которое относится к мобильным вредоносным программам нового поколения. Оно способно инициировать денежные переводы со взломанных устройств с помощью системы автоматических переводов (ATS), минуя механизмы многофакторной аутентификации.
ATS позволяет злоумышленникам автоматически заполнять поля на взломанном устройстве практически без участия пользователя. Его действия похожи на банковский троян Gustuff, который запускает службу автозаполнения для осуществления мошеннических денежных переводов через легитимные приложения для финансовых услуг.
SharkBot использует эту же технику в попытке обойти поведенческую аналитику, биометрические проверки и многофакторную аутентификацию. Однако для выполнения всех этих действий вредоносная программа должна сначала взломать Android Accessibility Services.
SharkBot скрывается под именами и значками легальных приложений. После запуска на телефоне он немедленно запрашивает разрешения доступа через поддельные всплывающие окна. Эти сообщения будут терроризировать жертву до тех пор, пока разрешение не будет предоставлено.
Установка зловреда происходит незаметно для владельца телефона, никакого значка приложения пользователи не увидят.
Вооруженный всеми необходимыми разрешениями, SharkBot отображает фейковые формы для ввода учетных данных, чтобы потом собрать информацию о жертве, и запоминает последовательность нажатия на клавиатуру.
Это требуется ему для кражи учётных данных, информации о кредитных картах, текущий баланс счёта и пр. Кроме того, SharkBot способен получать коды двухфакторной аутентификации из СМС-сообщений, а также вмешиваться в работу банковских приложений и криптовалютных кошельков.
Атакам подвергаются приложения международных банков и сервисов криптовалюты.
К счастью, в официальном Google Play Store SharkBot не обнаружили, его необходимо загружать из внешнего источника. Понятно, что это небезопасно, о чём пользователей постоянно предупреждают.
На момент написания SharkBot имеет низкие показатели обнаружения антивирусными решениями.
Как шифруется SharkBot:
Обфускация строк для замедления статического анализа и «скрытия» всех команд и важной информации, используемых трояном
Антиэмулятор, который проверяет, является устройство настоящим телефоном или эмулятором
Внешний модуль ATS . После установки вредоносная программа загружает дополнительный модуль из C2. Это файл «.jar», который содержит все функции для выполнения атак ATS
Скрыть значок приложения. После установки SharkBot скрывает значок приложения с экрана
Анти-удаление. SharkBot использует службы доступности, чтобы пользователь не удалил вредоносное приложение из параметров настроек
Зашифрованное общение. Вся связь между вредоносной программой и C2 зашифрована и закодирована с помощью Base64. Также SharkBot использует алгоритм генератора домена (DGA)
