Investigadores de ciberseguridad dieron a conocer el lunes un nuevo troyano de Android que utiliza funciones de accesibilidad en dispositivos móviles para extraer credenciales de servicios bancarios y de criptomonedas en Italia, el Reino Unido y los Estados Unidos.
El malware «SharkBot» de Cleafy está diseñado para atacar un total de 27 objetivos, incluidos 22 bancos internacionales no identificados en Italia y el Reino Unido, así como cinco aplicaciones de criptomonedas en los Estados Unidos, desde al menos finales de octubre de 2021 y se cree que tiene etapas. de desarrollo, sin superposiciones encontradas en ninguna familia conocida.
«El objetivo principal de SharkBot es iniciar transferencias de dinero desde dispositivos comprometidos utilizando tecnología de transferencia automática (ATS), que pasa por alto los mecanismos de autenticación de múltiples factores (por ejemplo, SCA)», dijeron los investigadores en un informe.
«Una vez que SharkBot se instala con éxito en el dispositivo de la víctima, los atacantes pueden obtener información bancaria confidencial mediante el uso indebido de los Servicios de Accesibilidad, como detalles de inicio de sesión, información personal, saldo actual, etc., pero también pueden hacer gestos en el dispositivo infectado».
SharkBot, que se hace pasar por un reproductor multimedia, TV en vivo o aplicación de recuperación de datos, así como sus contrapartes de malware TeaBot y UBEL, han pedido repetidamente a los usuarios que usen ventanas emergentes fraudulentas para otorgarles amplios privilegios solo para robar información confidencial. Se diferencia del uso de configuraciones de accesibilidad para realizar ataques ATS, que permiten a los operadores «completar automáticamente campos en aplicaciones bancarias móviles legítimas e iniciar transferencias de dinero desde dispositivos comprometidos a una red de dispositivos controlados por mulas». [threat actor]. «
El modus operandi elimina efectivamente la necesidad de registrar nuevos equipos para realizar actividades fraudulentas, al tiempo que evita los mecanismos de autenticación de dos factores introducidos por las aplicaciones bancarias.
Además, el malware viene con varias funciones que ahora se ven con todos los troyanos bancarios de Android, como la capacidad de realizar ataques superpuestos para robar información de inicio de sesión y de tarjetas de crédito, interceptar comunicaciones bancarias legítimas enviadas por SMS, habilitar el registro de teclas y obtener control remoto completo. controlar. . dispositivos infectados.
SharkBot también se destaca por sus pasos para evitar el análisis y la detección, incluida la ejecución de controles de emulador, el cifrado de la comunicación de comandos y el control remoto del servidor, y la ocultación del ícono de la aplicación en la pantalla de inicio después de la instalación. No se han detectado muestras de malware en la tienda oficial de Google Play, lo que significa que las aplicaciones maliciosas se instalan en los dispositivos de los usuarios a través de esquemas de carga lateral o de ingeniería social.
El descubrimiento de SharkBot en la naturaleza muestra «cómo el malware móvil está encontrando rápidamente nuevas formas de cometer fraude y tratando de eludir las contramedidas para detectar el comportamiento que varios bancos y servicios financieros han implementado en los últimos años», dijeron los investigadores.
