U antivirusnim aplikacijama u Google Play prodavnici otkriven opasni bankarski trojanac

Mobilni telefoni, 07.03.2022, 11:00 AM

U antivirusnim aplikacijama u Google Play prodavnici otkriven opasni bankarski trojanac

Bankarski trojanac SharkBot uspeo je da prođe bezbednosne barijere Google Play prodavnice maskiran u nekoliko antivirusnih aplikacija.

SharkBot spada u kategoriju bankarskih trojanaca koji mogu da pokrenu transfera novca sa kompromitovanih uređaja zaobilazeći mehanizme višefaktorske autentifikacije. Malver je prvi put primećen u novembru 2021.

Ono po čemu se SharkBot razlikuje od trojanaca iz ove kategorije, kao što su TeaBot i FluBot, je njegova sposobnost da izvrši neovlašćene transakcije putem sistema za automatski prenos (ATS), koji omogućava napadačima da automatski prebacuju novac sa računa žrtve, bez potrebe za ljudskom intervenijom. Za razliku od njega, TeaBot, na primer, zahteva živog operatera koji komunicira sa zaraženim uređajima da bi se izvršile zlonamerne aktivnosti.

„ATS funkcije omogućavaju malveru da dobije listu događaja koji će biti simulirani, a oni će biti simulirani kako bi se izvršio transfer novca“, rekli su analitičari malvera u kompaniji za sajber bezbednost NCC Group, u izveštaju objavljenom prošle nedelje u kome su detaljno objasnili kako SharkBot funkcioniše i kako je uspeo da izbegne bezbednosne mere Play prodavnice.

„Pošto se ove funkcije mogu koristiti za simulaciju dodira odnosno klikova i pritiska na dugme, mogu se iskoristiti ne samo za automatski transfer novca, već i za instaliranje drugih zlonamernih aplikacija ili komponenti.“

Drugim rečima, ATS se koristi da se obmanu sistemi za otkrivanje prevara banke simulacijom istog niza radnji koje bi korisnik izvršio, kao što su pritiskanje tastera i klikovi, kako bi se izvršio nezakonit transfer novca.

Najnovija verzija malvera primećena u Google Play prodavnici 28. februara u brojnim aplikacijama koje koriste Androidovu funkciju direktnog odgovora da bi se širile na druge uređaje. SharkBot je posle FluBota drugi bankarski trojanac koji presreće obaveštenja kako bi ih iskoristio za nove napade.

Zlonamerne aplikacije, koje su inače sve ažurirane 10. februara, instalirane su oko 57.000 puta. Reč je o aplikacijama Antivirus, Super Cleaner (com.abbondioendrizzi.antivirus.supercleaner) koja ima više od 1.000 instalacija, Atom Clean-Booster, Antivirus (com.abbondioendrizzi.tools.supercleaner) koja je instalirana više od 500 puta, Alpha Antivirus, Cleaner (com.pagnotto28.sellsourcecode.alpha) sa više od 5.000 instalacija i Powerful Cleaner, Antivirus (com.pagnotto28.sellsourcecode.supercleaner) koja ima više od 50.000 instalacija. Sve ove aplikacije u trenutku objavljivanja ovog teksta i dalje se nalaze u Google Play prodavnici.

Ove zlonamerne aplikacije za koje su oni koji su ih preuzeli mislili da su antivirusne aplikacije, kriju redukovanu verziju SharkBota, koji se zatim ažurira preuzimanjem opasne verzije malvera koja će primeniti razne taktike za krađu novca sa računa žrtava.

SharkBot je takođe bogat funkcijama koje mu omogućavaju da izvrši “napad preklapanja” u trenutku kada otkrije da je aplikacija banke aktivna. Ekran koji izgleda kao aplikacija banke prekriva legitimnu aplikaciju banke tako da će podaci koje unese korisnik biti poslati na servere pod kontrolom napadača. Malver može da evidentira pritiske tastera i dobije potpunu daljinsku kontrolu nad uređajima, ali tek nakon što mu žrtve daju dozvole za usluge pristupačnosti.

Otkriće SharkBota u Play prodavnici desilo se samo nekoliko dana nakon što su istraživači iz kompanije Cleafy otkrili novu verziju TeaBota u Googleovoj prodavnici aplikacija za Android, koja je dizajnirana za napade na korisnike više od 400 aplikacija banaka iz celog sveta.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Na Google Play pronađeno više od 200 aplikacija koje kradu lozinke za Facebook

Na Google Play pronađeno više od 200 aplikacija koje kradu lozinke za Facebook

Analitičari malvera iz kompanije Trend Micro pronašli su u Google Play prodavnici više od 200 Android aplikacija u kojima je sakriven špijunski ma... Dalje

Hakeri mogu instalirati malver na iPhoneu i kada je isključen

Hakeri mogu instalirati malver na iPhoneu i kada je isključen

Bluetooth, NFC i UWB ostaju uključeni čak i kada je iPhone isključen, što bi moglo omogućiti napadačima da pokrenu prethodno učitani malver. H... Dalje

Google će zbog bezbednosti iz Play prodavnice izbaciti skoro 900.000 zastarelih aplikacija

Google će zbog bezbednosti iz Play prodavnice izbaciti skoro 900.000 zastarelih aplikacija

Google planira da ukloni skoro 900.000 „napuštenih" aplikacija iz Google Play prodavnice. Zbog nedavne promene smernica Play prodavnice, Androi... Dalje

Korisnici Google Chromea za Android u Rusiji ne mogu da ažuriraju pregledač

Korisnici Google Chromea za Android u Rusiji ne mogu da ažuriraju pregledač

Sve veći broj korisnika Google Chromea za Android u Rusiji prijavljuje greške kada pokušaju da instaliraju najnovije ažuriranje za Googleov veb p... Dalje

Google Chrome će štititi vaše platne kartice virtuelnim brojevima kartica

Google Chrome će štititi vaše platne kartice virtuelnim brojevima kartica

Google je najavio da će dodati novu funkciju Chromeovom sistemu automatskog popunjavanja pod nazivom Virtuelni brojevi kartica, koja će vam omoguc... Dalje