聽SharkBot se reiventa para eludir f谩cilmente las barreras de seguridad de Google e incluso las verificaciones manuales o humanas.聽Sabemos que los distribuidores de malware no lo tienen facil para obtener sus aplicacionesinfectadas a trav茅s del sistema de escaneo autom谩tico de la Google Play Store.
Una nueva generaci贸n de Sharkbot ha sido descubierta Vuelve en formato de app "antivirus y super cleaner" gratuitos con el 煤nico fin no solo de robarte tus datos sino de hacer transferencias bancarias sin qyue te des cuenta
聽As铆 es este depredador bancario, huele el dinero al detectar que abres la app de tu banco y mediante un Keylogger envia los datos a los servidores de los atacantes. Ya est谩 listo para tomar el control de tu tel茅fono Android y hacer presa en tu cuenta vaciandola mediante transferencias bancarias.
Utilizando el sistema聽 autom谩tico de transferencias (ATS) y auto rellenado tus datos en aplicaciones bancarias legitimas es sencillamente a la vez tan brillante como aterrador.
La primera versi贸n fue descubierta por el equipo de intelegencia contra amenazas de Cleafy en Octubre de 2021
La nueva versi贸n ha sido descubierta por el Threat Intelligence team de NCC聽hace solo unos d铆as.
驴Como consigue infectarte Sharkbot? Una vez descargada la APP camuflada de FALSO ANTIVIRUS comienza a descargarse c贸digo para transformarse en un atentico depredador burlando la seguridad de tu tel茅fono.
Sharkbot intenta distribuirse como hemos visto a veces con exito a trav茅s de Google Play Store. Utiliza algo relativamente nuevo en el mundo del malware de Android:
la funci贸n ‘Respuesta directa’ para notificaciones.聽
Con esta funci贸n, puede proporcionar un mensaje de llamada al malware que se utilizar谩 para responder autom谩ticamente a las notificaciones entrantes recibidas en el dispositivo infectado.
Puede recibir un comando de “Respuesta autom谩tica” con el mensaje que debe usarse para responder autom谩ticamente cualquier notificaci贸n recibida en el dispositivo infectado a trav茅s聽 por ejemplo de una URL acortada de Bit.ly. o similar.
Esta nueva funcionalidad de Flubot permite distribuir el malware utilizando los dispositivos infectados.
驴 Que diferencias vemos en Sharkbot con otras versiones?
Lo que le hace tan interesante y diferente de las otras familias conocidas聽 es que probablemente usa ATS para eludir tambi茅n los mecanismos de autenticaci贸n 2FA o doble factor, incluida la detecci贸n de caracter铆ticas como la biometr铆a, demostrando por que es necesario聽utilizar dispositivos seguros como el T2 communicator聽con importantes medidas de seguridad a nivel de hardware y Zero Trust surface.
驴Como te roba el dinero y las credenciales Sharkbot? Utilizando 4 estrategias que ya hemos visto en otros virus y troyanos bancarios
Para la mayor铆a de estas funciones, SharkBot necesita como suele ser habitual que聽 la v铆ctima habilite los permisos y los deseados servicios de accesibilidad.
Estos permisos permiten que el malware bancario de Android intercepte indiscriminadamente todos los eventos de accesibilidad producidos por la interacci贸n del usuario con la interfaz de usuario, que como te estas imaginando incluyen las pulsaciones de botones, toques de pantalla o los cambios de TextField (煤tiles para las funciones de registro de teclas), etc. De esta maner pueden detectar la aplicaci贸n en primer plano, que si coincide con la de tu banco saca la artilleria聽 para mostrar las inyecciones weby asi robar las credenciales del usuario.
Inyecciones (ataque de superposici贸n):
Una de las t茅cnicas para robar credenciales le permite mostrar聽 un sitio web de inicio de sesi贸n falso (phishing) tan pronto como detecta que se ha abierto la aplicaci贸n bancaria oficial.
Intercepci贸n de mensajes de texto (SMS)
Sharkbot no solo los detecta sino que tambi茅n los oculta
control remoto y sistema autom谩tico de transferencias (ATS)
Sharkbot utiliza los privilegios en los servicios de accesibilidad para tomara el control remoto.
Registro de acciones de teclado:
Sharkbot tambi茅n puede robar credenciales registrando eventos de accesibilidad tales como cambios en los campos de texto y cuantos botones han sido pulsados聽 enviando estos registros al servidor de comando y control.
