Два потенциально опасных приложения со значительным количеством скачиваний были удалены из Google Play Store, сообщают эксперты по кибербезопасности Fox-IT (через BleepingComputer).
Антивирусные приложения Mister Phone Cleaner и Kylhavy Mobile Security были установлены в общей сложности 60 000 раз, а их целью было похищение банковских логинов путем установки усовершенствованной версии печально известной вредоносной программы SharkBot.
Изначально приложения попали в магазин приложений, поскольку не содержали вредоносного кода, который мог бы вызвать отказ Google. Mister Phone Cleaner и Kylhavy Mobile Security — это дропперы или приложения-помощники, созданные для доставки вредоносных программ на телефоны Android.
После их установки пользователям предлагалось установить обновление для защиты от угроз, что, по сути, являлось способом установить SharkBot на телефон жертвы.
Хотя эти приложения больше не доступны в Play Store, пользователи, загрузившие их ранее, должны удалить их со своих телефонов или подвергнуться риску.
Дропперы SharkBot хотят украсть банковскую информацию.
Впервые SharkBot был обнаружен в конце 2021 года, а первые приложения с ним были найдены в Play Store в марте этого года. В то время его принцип работы заключался в краже информации путем перехвата текстовых сообщений, обмана пользователей с помощью атак наложения экрана и разглашения конфиденциальной информации, а также предоставления киберпреступникам удаленного контроля над зараженным устройством путем злоупотребления услугами доступности.
Обновленная версия под названием SharkBot 2 была замечена в мае, а 22 августа Fox-IT наткнулся на версию 2.25, которая способна похищать файлы cookie из логинов банковских счетов. Недавно обнаруженные приложения с SharkBot 2.25 не злоупотребляют услугами Accessibility Services, а также не требуют функции Direct Reply, поскольку это могло бы затруднить их одобрение в Play Store.
Вместо этого они просят командно-контрольные серверы напрямую получить APK-файл Sharkbot. После этого дропперы уведомляют пользователя об обновлении и просят его установить APK и разрешить необходимые настройки.
Чтобы избежать автоматического обнаружения, SharkBot сохраняет свою жестко заданную конфигурацию в зашифрованном виде.
Используя регистратор cookies, SharkBot перехватывает действительные сессионные cookies, когда пользователь входит в свой банковский счет, и отправляет их на командно-контрольный сервер. Cookies представляют ценность для угроз, поскольку помогают им обойти проверку отпечатков пальцев и в некоторых случаях избежать необходимости использования маркеров аутентификации пользователя.
Вредоносная программа была способна похищать такие данные, как пароли и баланс счета из официальных банковских приложений. В некоторых приложениях ей удавалось избежать входа в систему по отпечатку пальца.
SharkBot, по-видимому, нацелен на пользователей в Австралии, Австрии, Германии, Италии, Польше, Испании, Великобритании и США.
Разработчики продолжают упорно работать над усовершенствованием вредоносной программы, и Fox-IT ожидает новых кампаний в будущем.
Чтобы не стать жертвой таких приложений, не загружайте приложения от неизвестных издателей, особенно те, которые не кажутся популярными, а также изучайте отзывы.
Прокомментируйте первым!
Добавить комментарий