بدافزار SharkBot در قالب یک برنامه دوباره در فروشگاه Google Play ظاهر شد که با دور زدن کوکی ها و کد های شناسایی مشتری به برنامه های کریپتو و بانکی دسترسی پیدا می کند. خانواده بدافزار SharkBot اولین بار در اکتبر گذشته کشف شد و با روشهای جدیدی برای هک کردن برنامه های کریپتو و بانکی مبتنی بر اندروید کاربران به تکامل خود ادامه داده است.
بدافزار SharkBot در کمین برنامه های کریپتو و بانکی |
یک نسخه جدید ارتقا یافته از یک اپلیکیشن که برنامه های کریپتو و بانکی که بدافزار را هدف قرار میدهد، اخیراً در فروشگاه Google Play ظاهر شده است و اکنون قابلیت سرقت کوکیها، ورود به حسابها و دور زدن الزامات اثر انگشت یا احراز هویت دارد.
هشداری در مورد نسخه جدید بدافزار توسط تحلیلگر بدافزار آلبرتو سگورا (Alberto Segura) و تحلیلگر اطلاعاتی مایک استوکل (Mike Stokkle) در تاریخ 2 سپتامبر در حساب های توییتر به اشتراک گذاشته شد. این دو نفر همچنین مقاله مشترک خود را در وبلاگ Fox IT به اشتراک گذاشتند.
We discovered a new version of #SharkbotDropper in Google Play used to download and install #Sharkbot! The found droppers were used in a campaign targeting UK and IT! Great work @Mike_stokkel! https://t.co/uXt7qgcCXb
— Alberto Segura (https://infosec.exchange/@asegura) (@alberto__segura) September 2, 2022
به گفته سگورا، نسخه جدید این بدافزار در 22 آگوست کشف شد و میتواند «حملات همپوشانی انجام دهد، دادهها را از طریق keylogging به سرقت ببرد، پیامهای SMS را رهگیری کند، یا با سوء استفاده از سرویسهای دسترسی، کنترل کامل از راه دور دستگاه میزبان را بدست بگیرد.»
نسخه جدید بدافزار در دو برنامه اندروید یافت شد – «Mister Phone Cleaner» و «Kylhavy Mobile Security» که از آن زمان به ترتیب 50000 و 10000 بار دانلود شده اند.
این دو برنامه در ابتدا توانستند به Play Store راه یابند زیرا بررسی خودکار کد گوگل هیچ کد مخربی را شناسایی نکرد. با این حال، از آن زمان از فروشگاه حذف شده است.
با این حال، ناظران پیشنهاد کرده اند که 60000 کاربری که این برنامه ها را نصب کرده اند ممکن است همچنان در معرض خطر باشند و باید برنامه ها را به صورت دستی حذف کنند.
تجزیه و تحلیل ریزبینانه شرکت امنیتی لیفی مستقر در ایتالیا نشان داد که 22 هدف توسط SharkBot شناسایی شده است که شامل پنج صرافی ارزهای دیجیتال و تعدادی بانک بین المللی در ایالات متحده، بریتانیا و ایتالیا می شود.
در مورد نحوه حمله بدافزار، نسخه قبلی بدافزار SharkBot «برای اجرای خودکار نصب بدافزار dropper SharkBot به مجوزهای دسترسی متکی بود.»
اما این نسخه جدید از این جهت متفاوت است که «از قربانی میخواهد تا بدافزار را بهعنوان یک بهروزرسانی جعلی برای آنتیویروس نصب کند تا در برابر تهدیدات محافظت شود».
در صورت نصب، هنگامی که قربانی به حساب بانکی یا برنامه های کریپتو خود وارد می شود، SharkBot می تواند کوکی معتبر خود را از طریق دستور «logsCookie» بگیرد، که اساساً هر روش اثر انگشت یا احراز هویت استفاده شده را دور می زند.
This is interesting!
Sharkbot Android malware is cancelling the "Log in with your fingerprint" dialogs so that users are forced to enter the username and password
(according to @foxit blog post) pic.twitter.com/fmEfM5h8Gu— Łukasz (@maldr0id) September 3, 2022
اولین نسخه بدافزار SharkBot اولین بار توسط کلیفی (Cleafy) در اکتبر 2021 کشف شد.
با توجه به اولین تحلیل کلیفی در مورد SharkBot، هدف اصلی SharkBot «آغاز انتقال پول از دستگاه های در معرض خطر از طریق تکنیک سیستم های انتقال خودکار (ATS) با دور زدن مکانیسم های احراز هویت چند عاملی بود.»
منبع : Cointelegraph
پاسخها