Újabb banki kártevőnek sikerült kijátszania a Play Store védelmét

 

Ezúttal vírusirtóként („Antivirus, Super Cleaner”) rejtőzött el az androidos alkalmazásboltban a SharkBot névre keresztelt banki trójai program, amit az NCC Group kutatói fedeztek fel, és ami a forrás cikk publikálásának időpontjában még továbbra is elérhető volt a Play Store-ban.

A SharkBot-ot elsőként 2021 októberében azonosította a Cleafy biztonsági cég, az akkori verzió rendkívüli tulajdonsága az automata átutalási rendszeren (ATS) keresztüli pénzmozgatásban rejlett, ami a most felfedezett verzióban is jelen van, további 4 főfunkció (overlay támadás, billentyűnaplózás, SMS üzenetek elfogása és távoli hozzáférések megszerzése) kíséretében. Ezen funkciók kihasználásához a SharkBot kompromittálja az Android kisegítő szolgáltatásait (Accessibility Services) és megszerzi a működéséhez szükséges hozzáférési engedélyeket. Ennek következtében a SharkBot képes észlelni, ha a fertőzött eszköz felhasználója megnyit egy banki alkalmazást, ilyenkor a valódi bejelentkezési oldal helyett, egy hamis bejelentkezési felületet mutat a felhasználónak, így az itt megadott hitelesítő adatokat könnyedén megszerezhetik a támadók. Mindezek mellett, a rosszindulatú program képes további parancsokat is fogadni a C2 szervertől, például SMS üzeneteket küldhet egy bizonyos számra, fájlokat tölthet le adott weboldalakról, stb. Szintén figyelemre méltó az értesítésekre adott „Közvetlen válasz” funkció, amivel képes elfogni az értesítéseket és közvetlenül a C2 szervertől érkező üzenetekkel tud válaszolni rájuk. Ez lehetővé teszi, hogy az alkalmazásboltban ún. dropper alkalmazásként legyen jelen a káros program egy leegyszerűsített verziója, amivel megkerülheti a Play Store védelmi intézkedéseit, az alkalmazás telepítése után pedig betölti a komolyabb kártevőket.

Az ilyen és ehhez hasonló fertőzések elkerülése érdekében csökkentsük a telepített alkalmazások számát eszközeinken, a vírusvédelmi megoldásokból pedig a jól ismert gyártók kínálatából válasszunk.

(bleepingcomputer.com)