En ny Android-banktrojaner har blitt oppdaget som er i stand til å omgå multifaktorautentiseringskontroller gjennom misbruk av ATS.
I slutten av oktober fant cybersikkerhetsforskere fra Cleafy skadevaren, som ikke ser ut til å tilhøre noen kjent familie.
Nå kalt SharkBot, har Android-skadevare blitt sporet i angrep fokusert på å stjele midler fra sårbare telefoner som kjører på Google Android-operativsystemet.
Så langt har infeksjoner blitt funnet i Storbritannia, Italia og USA.
Det antas at SharkBot sannsynligvis er et privat botnett og fortsatt er i de tidlige utviklingsstadiene.
SharkBot er modulær skadelig programvare som forskerne sier tilhører neste generasjon av mobil skadelig programvare som kan utføre angrep basert på ATS-systemet (Automatic Transfer System).
ATS lar angripere automatisk fylle ut felt på en infisert enhet med minimalt med menneskelig input. På samme måte som Gustuff-banktrojaneren, lanseres autofyll-tjenesten for å tilrettelegge for falske pengeoverføringer gjennom legitime apper for finanstjenester – en generell trend i utvikling av skadelig programvare og en pivot fra eldre tyveriteknikker på mobiltelefoner, som bruk av phishing domener.
Cleafy foreslår at SharkBot bruker denne teknikken i et forsøk på å omgå atferdsanalyser, biometriske sjekker og multifaktorautentisering (MFA) – siden ingen ny enhet trenger å registreres. Men for å gjøre det, må skadelig programvare først kompromittere Android Accessibility Services.
Når den er utført på et Android-håndsett, vil SharkBot umiddelbart be om tilgangstillatelser – og vil plage offeret med popup-vinduer til dette er gitt.
Ingen installasjonsikon vises. Nå bevæpnet med alle håndsetttillatelsene den trenger, vil SharkBot deretter stille standard vinduoverleggsangrep for å stjele legitimasjon og kredittkortinformasjon, tyveri basert på ATS, og er også i stand til å tastelogg og både fange opp eller skjule innkommende SMS-meldinger.
Forskerne sier at banktrojaneren også er i stand til å utføre «bevegelser» på offerets vegne.
Apper levert av internasjonale banker og kryptovalutatjenester blir målrettet.
En av de viktigste punktene er at ingen prøver er funnet i det offisielle Android-applageret, Google Play Store. I stedet må skadelig programvare lastes fra en ekstern kilde gjennom sidelasting – en praksis som leverandøren har advart om kan være farlig, siden dette lar ondsinnede apper omgå Google Plays sikkerhetskontroller.
I skrivende stund har SharkBot lave gjenkjenningshastigheter av antivirusløsninger.
“Med oppdagelsen av SharkBot har vi vist nye bevis på hvordan mobil malware raskt finner nye måter å utføre svindel på, og prøver å omgå adferdsdeteksjonsmottiltak som er iverksatt av flere banker og finansielle tjenester i løpet av siste årene,” sier Cleafy. “Akkurat som utviklingen av skadelig programvare på arbeidsstasjoner skjedde de siste årene, i mobilfeltet, ser vi en rask utvikling mot mer sofistikerte mønstre som ATS-angrep.”
Tidligere og relatert dekning
Meris botnett angriper KrebsOnSecurity
Denne skadevarebotnettgjengen har stjålet millioner med et overraskende enkelt triks
Dette ransomware-spredningende skadevarebotnettet vil bare ikke forsvinne< br>
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Security TV | Databehandling | CXO | Datasentre