SharkBot Android-Trojaner

Eine Angriffsoperation mit einem neuen Android-Trojaner namens SharkBot wurde von den Forschern aufgedeckt. Die Bedrohung wird in mehreren Ländern und geografischen Regionen eingesetzt. Das Ziel der Angreifer ist es, sensible Informationen von ihren Opfern zu sammeln, wie Kontodaten und Zahlungsdetails. Die aktuellen Versionen von SharkBot sind in der Lage, 27 gezielte Anwendungen zu imitieren und zu beeinflussen. Zu ihnen gehören 22 Banken aus Italien und Großbritannien, während 5 Kryptowährungs-Apps sind aus den USA.

Bedrohliche Funktionalität

SharkBot weist keine Überschneidungen mit den bestehenden mobilen Banking-Trojanerfamilien auf und gilt als maßgeschneiderte Bedrohung, die sich noch in der aktiven Entwicklung befindet. Es ist in der Lage, die üblichen aufdringlichen Aktionen durchzuführen, die mit diesem Malware-Typ verbunden sind. Durch die Ausnutzung der legitimen Android Accessibility-Dienste kann es Overlay-Angriffe durchführen, indem gefälschte Anmeldebildschirme für die Zielanwendungen angezeigt und dann die eingegebenen Informationen abgegriffen werden. Darüber hinaus kann SharkBot die SMS-Nachrichten auf dem beschädigten Gerät abfangen, Keylogging-Routinen einrichten usw.

Das Hauptziel von SharkBot besteht jedoch darin, Geldtransfers auf den infizierten Geräten zu initiieren. Durch den Einsatz einer Automatic Transfer Systems (ATS)-Technik kann es mehreren Multi-Faktor-Authentifizierungsmechanismen erfolgreich entgegenwirken. Der ATS-Angriff ermöglicht es den Cyberkriminellen, Geldüberweisungen durchzuführen, indem sie die erforderlichen Felder der legitimen mobilen Banking-App automatisch ausfüllen und dann die Gelder des Opfers an ein Money-Mule-Netzwerk weiterleiten.

SharkBot verfügt auch über ein robustes Set an Anti-Erkennungs- und Umgehungstechniken. Es führt mehrere Überprüfungen auf Emulatoren durch, die auf dem Gerät ausgeführt werden, und blendet gleichzeitig sein eigenes Symbol auf dem Startbildschirm aus. Die Kommunikation der Bedrohung mit ihrem Command-and-Control (C2, C&C)-Server ist mit einem starken Algorithmus verschlüsselt.

Verteilung

Die Bedrohung wird über eine bewaffnete App verbreitet, die vorgibt, nützliche Funktionen anzubieten. Die Apps könnten sich als Mediaplayer, Datenwiederherstellungstools oder Apps ausgeben, die Streaming- und Live-TV-Dienste anbieten. Zu beachten ist, dass bisher keine der SharkBot-Applications es geschafft haben, die Sicherheit des Google Play Store zu verletzen. Stattdessen verlassen sich die Angreifer höchstwahrscheinlich auf Apps von Drittanbietern, Kommunikationsplattformen, Side-Loading-Techniken oder das Tricksen von Benutzern durch verschiedene Social-Engineering-Taktiken.