NCC集团注意到去年Android恶意软件的增加,尤其是Android银行恶意软件。NCC集团的Treat Intelligence团队正在密切关注其中几个恶意软件家族。其中一个较新的恶意软件名为SharkBot的Android银行恶意软件。NCC集团了解到这种恶意软件通过官方Google play商店进行传播。
SharkBot是Cleafy威胁情报团队于2021年10月末发现的一种Android银行恶意软件。在撰写本文时,SharkBot恶意软件似乎与Flubot、Cerberus/Alien、Anatsa/Teabot、Oscorp等其他Android银行恶意软件没有任何关系。 该软件通过官方Google play商店进行传播。SharkBot的主要目标是通过自动转账系统(ATS)从受感染的设备发起资金转账。这种技术在Android恶意软件中并不常见,是一种高级攻击技术,允许攻击者自动填写合法移动银行应用程序中的字段并启动汇款。 在谷歌Play商店发现的SharkBot版本中,ATS功能允许恶意软件接收要模拟的事件列表,然后模拟这些事件以进行资金转账。由于此功能可用于模拟触摸/点击和按钮按压,因此它不仅可用于自动转账,还可用于安装其他恶意应用程序或组件。它似乎是SharkBot的缩减版本,具有最少的所需功能,如ATS,以便在初始安装后的某个时间安装恶意软件的完整版本。 由于通过谷歌Play商店作为假冒的反病毒软件进行分发,威胁者必须使用受感染的设备来传播恶意应用程序。鲨鱼饵通过滥用直接回复安卓功能。此功能用于自动发送带有消息的回复通知,以下载假冒的防病毒应用程序。这种滥用直接回复功能的传播策略最近出现在另一个名为Flubot,由威胁结构发现。 金钱和凭证窃取功能SharkBot实施了四种主要策略来窃取Android中的银行凭证: 1.注入(覆盖攻击):一旦检测到官方银行应用程序已打开,SharkBot就可以通过显示带有虚假登录网站(网络钓鱼)的WebView来窃取凭据。 2.键盘记录:Sharkbot可以通过记录可访问性事件(与文本字段更改和单击按钮相关)并将这些日志发送到命令和控制服务器(C2)来窃取凭据。 3.短信拦截:Sharkbot具有拦截/隐藏短信的能力。 4.远程控制/ATS:Sharkbot能够获得对Android设备的完全远程控制(通过辅助功能服务)。 对于大多数这些功能,SharkBot需要受害者启用可访问性权限和服务。这些权限允许Android银行恶意软件拦截用户与用户界面交互产生的所有可访问性事件,包括按钮按下、触摸、TextField更改(对键盘记录功能有用)等。拦截的可访问性事件还允许检测前台应用程序,因此银行恶意软件也使用这些权限来检测目标应用程序何时打开,以显示网络注入以窃取用户的凭据。 传送Sharkbot是通过谷歌Play商店发布的,但也使用了安卓恶意软件中相对较新的功能:“直接回复”通知。通过此功能,C2可以向恶意软件提供消息,该消息将用于自动回复受感染设备中接收到的传入通知。Flubot最近引入了这一功能,以使用受感染的设备分发恶意软件,但SharkBot威胁参与者似乎在最近的版本中也包括了这一功能。
| 
2023-3-27 14:06:56
