Обнаружен новый банковский троянец Android, способный обходить средства многофакторной аутентификации за счет злоупотребления ATS.

В конце октября исследователи кибербезопасности из Cleafy обнаружили вредоносное ПО, которое, похоже, не принадлежит ни одному из известных семейств.

В настоящее время получивший название SharkBot, вредоносное ПО для Android отслеживалось в атаках, направленных на кражу средств с уязвимых мобильных телефонов, работающих под управлением операционной системы Google Android.

Пока что инфекции были обнаружены в Великобритании, Италии и США.

Считается, что SharkBot, скорее всего, является частным ботнетом и все еще находится на ранней стадии разработки.

SharkBot — это модульное вредоносное ПО, которое, по словам исследователей, относится к следующему поколению мобильных вредоносных программ, способных выполнять атаки на основе системы автоматической передачи данных (ATS).

ATS позволяет злоумышленникам автоматически заполнять поля на зараженном устройстве с минимальным вмешательством человека. Так же, как и банковский троянец Gustuff, запускается служба автозаполнения для облегчения мошеннических денежных переводов через законные приложения для финансовых услуг — общая тенденция в развитии вредоносных программ и отход от старых методов кражи мобильных телефонов, таких как использование фишинга. домены.

Клефи предполагает, что SharkBot использует эту технику в попытке обойти поведенческую аналитику, биометрические проверки и многофакторную аутентификацию (MFA), поскольку регистрировать новое устройство не нужно. Однако для этого вредоносная программа должна сначала взломать Android Accessibility Services.

После запуска на телефоне Android SharkBot немедленно запросит разрешения доступа — и будет изводить жертву всплывающими окнами, пока это не будет предоставлено.

Значок установки не отображается. Теперь, вооруженный всеми необходимыми разрешениями для телефона, SharkBot будет незаметно выполнять стандартные атаки наложения окон для кражи учетных данных и информации о кредитной карте, кражи на основе ATS, а также может вести журнал ключей и перехватывать или скрывать входящие SMS-сообщения.

Исследователи говорят, что банковский троянец также способен выполнять «жесты» от имени жертвы.

Атакуют приложения, предоставляемые международными банками и службами криптовалюты.

Одна радость заключается в том, что в официальном репозитории приложений для Android, Google Play Store, образцов не обнаружено. Вместо этого вредоносное ПО необходимо загружать из внешнего источника посредством боковой загрузки — практика, о которой предупреждал поставщик, может быть опасной, поскольку позволяет вредоносным приложениям обходить средства контроля безопасности Google Play.

На момент написания SharkBot имеет низкие показатели обнаружения антивирусными решениями.

«Открыв SharkBot, мы продемонстрировали новые доказательства того, как вредоносное ПО для мобильных устройств [is] быстро найти новые способы совершения мошенничества, пытаясь обойти контрмеры поведенческого обнаружения, введенные несколькими банками и финансовыми службами в последние годы, — говорит Клефи. мы наблюдаем быструю эволюцию к более изощренным схемам, таким как атаки ATS «.

Предыдущее и связанное с ним покрытие

Есть чаевые? Свяжитесь с нами безопасно через WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0