Банковият троянец за неправомерен отдалечен достъп SharkBot беше забелязан за първи път през октомври 2021 г. Изследователите по сигурността от Cleafy откриха неговите особено сложни и коварни функции и стигнаха до заключението, че е единствен по рода си, без връзка със зловреден софтуер като TeaBot или Xenomorph. Едната е системата за автоматично прехвърляне (ATS), която е нова за Android и позволява на нападателите автоматично да прехвърлят средства от сметките на жертвата, без да е необходима човешка намеса. И както откриха британски изследователи по сигурността, актуализиран SharkBot се крие в невинно изглеждащо антивирусно приложение, което е все още достъпно (към момента на писане) в Google Play Store.
Изследователи от NCC Group публикуваха доклад, който разкрива как работи SharkBot и как в крайна сметка заобикаля мерките за безопасност на Play Store. Зловредното приложение функционира като трислойна система, като единият слой се маскира като антивирусен, а вторият слой като олекотена версия на SharkBot, която след това се актуализира чрез изтегляне на напълно разработената версия на зловредния софтуер. Тогава започва работа, използвайки различни тактики за плячкосване на банковите сметки на жертвите.
Според NCC, SharkBot може да извърши „атака с наслагване“ в момента, в който открие активно приложение за банкиране. То показва екран, който прилича на интерфейса на въпросната банка, готов да му предоставите вашите идентификационни данни за вход. Програмата също така активира кейлогър, който изпраща всичко, което въвеждате до сървърите, на нападателя – и не само прихваща SMS съобщения, но може и да ги скрие. Софтуерът може дори да отвлича входящи известия и да изпраща съобщения, които произхождат от нападателя. В крайна сметка SharkBot може да използва тези методи, за да установи пълен контрол над смартфон с Android.
За щастие това конкретно злонамерено приложение не се е разпространило много по-далеч от 1000 изтегляния – поне досега. Въпреки това, ако сте изтеглили фалшивата антивирусна програма Super Cleaner от Play Store, изтрийте я незабавно и обмислете възможността за напълно нулиране на телефона си. Това е една „акула“, чиято гръбна перка няма да забележите, затова не трябва да оставяте нищо на случайността.
Снимка: Pikrepo
Виж още: Свалено над 10 000 пъти приложение в Google Play се оказа поредният опасен крадец на данни