Aplicativo de criptomoedas direcionado ao malware SharkBot ressurge na loja de aplicativos do Google

Uma versão recém-atualizada de um aplicativo de cripto e banco direcionado a malware ressurgiu recentemente na Google Play Store, agora com a capacidade de roubar cookies de logins de contas e ignorar os requisitos de impressão digital ou autenticação.

Um aviso sobre a nova versão do malware foi compartilhado pelo analista de malware Alberto Segura e pelo analista de inteligência Mike Stokkel nas contas do Twitter na sexta-feira (02/09), compartilhando seu artigo de coautoria no blog da Fox IT.

Descobrimos uma nova versão do #SharkbotDropper no Google Play usado para baixar e instalar o #Sharkbot! Os 'droppers' encontrados foram usados ​​em uma campanha direcionada ao Reino Unido e à Itália! Ótimo trabalho @Mike_stokkel! https://t.co/uXt7qgcCXb

— Alberto Segura (@alberto__segura) twitter.com/alberto__segura/status/1565659523339227137?ref_src=twsrc%5Etfw

De acordo com Segura, a nova versão do malware foi descoberta em 22 de agosto e pode “executar ataques de sobreposição, roubar dados por meio de keylogging, interceptar mensagens SMS ou dar aos agentes de ameaças controle remoto completo do dispositivo host, abusando dos Serviços de Acessibilidade”.

A nova versão do malware foi encontrada em dois aplicativos para Android, Mister Phone Cleaner e Kylhavy Mobile Security, que acumularam 50.000 e 10.000 downloads, respectivamente.

Os dois aplicativos conseguiram inicialmente chegar à Play Store, pois a revisão automatizada de código do Google não detectou nenhum código malicioso, embora tenha sido removido da loja.

Alguns observadores sugerem que os usuários que instalaram os aplicativos ainda podem estar em risco e devem removê-los manualmente.

Uma análise aprofundada da empresa de segurança italiana Cleafy descobriu que 22 alvos foram identificados pelo SharkBot, que incluiu cinco exchanges de criptomoedas e vários bancos internacionais nos Estados Unidos, Reino Unido e Itália.

Quanto ao modo de ataque do malware, a versão anterior do malware SharkBot “dependia de permissões de acessibilidade para executar automaticamente a instalação do malware dropper SharkBot”.

Mas, esta nova versão é diferente na medida em que “pede à vítima que instale o malware como uma atualização falsa para que o antivírus permaneça protegido contra ameaças”.

Uma vez instalado, caso uma vítima faça login em sua conta bancária ou cripto, o SharkBot pode capturar seu cookie de sessão válido por meio do comando “logsCookie”, que basicamente ignora qualquer método de impressão digital ou autenticação usado.

Isto é interessante!
O malware Sharkbot Android está cancelando as caixas de diálogo "Faça login com sua impressão digital" para que os usuários sejam forçados a inserir o nome de usuário e a senha
(de acordo com a postagem do blog @foxit) pic.twitter.com/fmEfM5h8Gu

— Łukasz (@maldr0id) 3 de setembro de 2022

A primeira versão do malware SharkBot foi descoberta por Cleafy em outubro de 2021.

• Aplicativo falso do Google Tradutor instala minerador de criptomoeda em 112.000 PCs

De acordo com a primeira análise de Cleafy do SharkBot, o principal objetivo do SharkBot era “iniciar transferências de dinheiro dos dispositivos comprometidos através da técnica de Sistemas de Transferência Automática (ATS) ignorando os mecanismos de autenticação multifator”.

VEJA MAIS:

• Grupos terroristas podem recorrer a NFTs para arrecadar fundos e espalhar mensagens, diz reportagem do Wall Street Journal

• Conta do Twitter da PwC Venezuela é hackeada

• Binance identifica suspeitos de hack do KyberSwap por meio de investigação própria