SharkBot: el troyano bancario que se distribuye en Play Store

Google-Play-Store-Android-malware

Android parece convertirse en el blanco preferido para la distribución de malware disfrazado de aplicaciones móviles propensas a ser descargadas por usuarios bajo la promesa de resolver un problema específico.

El equipo de Inteligencia de Amenazas de NCC Group, se dio a la tarea de analizar y descifrar familias de este malware con el objetivo de ayudar a sus clientes para protegerse de estas amenazas. Especialmente el malware bancario.

Entre las familias más recientes que encontraron está una llamada ‘SharkBot’. Un virus capaz de distribuirse en Google Play Store, por lo que no duraron en informar a la compañía de este descubrimiento y compartir con la audiencia sus hallazgos.

Te podría interesar: La tarjeta gráfica es capaz de rastrear usuarios sin usar cookies

La amenaza SharkBot

SharkBot es un virus bancario descubierto a finales de 2021 por el equipo de Inteligencia de amenazas de Cleafy. Hasta la fecha, no ha sido posible identificar alguna relación con otro malware bancario de Android como Flutbot, Cerberus / Alien, Anatsa / Teabot, Oscorp, entre otros.

Partiendo con la declaración de Cleary mediante una entrada del blog, SharkBot cumplía el objetivo de iniciar transferencias de dinero (desde dispositivos comprometidos) mediante sistemas de transferencia automática (ATS). Dicho de otro modo consiste en una técnica avanzada que no se había observado antes. Los adversarios son capaces de rellenar automáticamente los campos de aplicación legítima de banca móvil para así comenzar las transferencias que requieren de un operador en vivo para insertar y autorizar estas transferencias.

El malware se distribuye en Google Play disfrazado de un falso antivirus. Descubrieron que tiene que incluir el uso de dispositivos infectados para propagar la aplicación maliciosa. ShakBot lo hace posible al abusar de la función de Android ‘respuesta automática’. Esta función se utiliza para enviar de forma automática una notificación de respuesta con un mensaje para descargar la aplicación antivirus falsa.

Sigue con: Dark Herring: el virus informático que se instaló en apps de Play Store

¿Cómo funciona?

SharkBot hace posible su ataque apoyándose de cuatro estrategias principales en el robo de credenciales bancarias en Android:

  1. Inyecciones (ataque de superposición): Puede robar credenciales al mostrar un WebView con un falso inicio de sesión (phising) tan pronto como detecta que la aplicación bancaria oficial se abrió.
  2. Registro de teclas: Puede robar credenciales registrando eventos de accesibilidad y enviando estos registros al servidor de comando y control (C2).
  3. Intercepción de SMS: Tiene la capacidad de interceptar / ocultar mensajes SMS.
  4. Control remoto / ATS: Tiene la capacidad de obtener el control remoto completo de un dispositivo Android.

Sin embargo, en todos estos casos es necesario que la víctima habilite los permisos y servicios de accesibilidad para poder ejecutar sus ataques. Poco después de sus descubrimientos, encontraron varios goteros SharkBot en Google Play Store. Mismos que parecen compartirse de una manera muy similar, literalmente copy-paste del código en todos ellos. Para conseguir la descarga, la aplicación contaba con reseñas positivas falsas de usuarios.

Para nuestra fortuna, esta amenaza y sus versiones detectadas ya se removieron del Play Store. Si desean explorar las características de este malware y estudiar a detalle el código de las mismas, podrán hacerlo a través de este enlace.

- Anuncio -
Artículo anteriorUn vistazo a nuestra privacidad on-line
Artículo siguiente¿Qué pasó con el cerebro de Einstein?
Somos el medio para el talento del mañana.