En ny Android-banktrojan har upptäckts som kan kringgå multifaktorautentiseringskontroller genom missbruk av ATS.
I slutet av oktober hittade cybersäkerhetsforskare från Cleafy skadlig programvara, som inte verkar tillhöra någon känd familj.
Nu kallad SharkBot, skadlig programvara för Android har spårats i attacker fokuserade på att stjäla pengar från sårbara telefoner som körs på Googles Android-operativsystem.
Hittills har infektioner hittats i Storbritannien, Italien och USA.
Man tror att SharkBot sannolikt är ett privat botnät och fortfarande är i ett tidigt utvecklingsstadium.
SharkBot är modulär skadlig programvara som forskarna säger tillhör nästa generation av mobil skadlig programvara som kan utföra attacker baserade på systemet för automatisk överföring (ATS).
ATS tillåter angripare att automatiskt fylla i fält på en infekterad enhet med minimal mänsklig input. På samma sätt som Gustuff-banktrojanen lanseras autofylltjänsten för att underlätta bedrägliga pengaöverföringar genom legitima appar för finansiella tjänster – en allmän trend i utveckling av skadlig programvara och en pivot från äldre stöldtekniker på mobila telefoner, såsom användningen av nätfiske domäner.
Cleafy föreslår att SharkBot använder den här tekniken i ett försök att kringgå beteendeanalys, biometriska kontroller och multi-factor authentication (MFA) – eftersom ingen ny enhet skulle behöva registreras. Men för att göra det måste skadlig programvara först äventyra Android Accessibility Services.
När den har körts på en Android-telefon kommer SharkBot omedelbart att begära åtkomstbehörigheter — och kommer att plåga offret med popup-fönster tills detta beviljas.
Ingen installationsikon visas. Nu beväpnad med alla lurbehörigheter den behöver, kommer SharkBot sedan tyst att utföra vanliga fönsteröverläggsattacker för att stjäla autentiseringsuppgifter och kreditkortsinformation, stöld baserat på ATS, och kan även nyckellogga och både avlyssna eller dölja inkommande SMS-meddelanden.
Forskarna säger att banktrojanen också kan utföra “gester” för offrets vägnar.
Appar som tillhandahålls av internationella banker och kryptovalutatjänster är inriktade på.
En av de viktigaste är att inga prover har hittats i det officiella Android-appförrådet, Google Play Store. Istället måste skadlig programvara laddas från en extern källa genom sidladdning – en praxis som leverantören har varnat kan vara farlig, eftersom detta tillåter skadliga appar att kringgå säkerhetskontroller på Google Play.
I skrivande stund har SharkBot låga upptäcktshastigheter av antiviruslösningar.
“Med upptäckten av SharkBot har vi visat nya bevis på hur mobil skadlig programvara snabbt [finner] nya sätt att bedrägeri, och försöker kringgå beteendedetektering motåtgärder som vidtagits av flera banker och finansiella tjänster under senaste åren”, säger Cleafy. “Precis som utvecklingen av skadlig programvara för arbetsstationer inträffade under de senaste åren, inom mobilområdet, ser vi en snabb utveckling mot mer sofistikerade mönster som ATS-attacker.”
Tidigare och relaterad täckning
Meris botnät attackerar KrebsOnSecurity
Det här skadliga botnätgänget har stulit miljoner med ett förvånansvärt enkelt knep
Detta skadliga botnät som sprider ransomware kommer bara inte att försvinna< br>
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter