Der er blevet opdaget en ny Android-banktrojaner, der er i stand til at omgå multi-faktor autentificeringskontroller gennem misbrug af ATS.
I slutningen af oktober fandt cybersikkerhedsforskere fra Cleafy malwaren, som ikke ser ud til at tilhøre nogen kendt familie.
Nu kaldet SharkBot, er Android-malwaren blevet sporet i angreb fokuseret på at stjæle midler fra sårbare håndsæt, der kører på Google Android-operativsystemet.
Indtil videre er der fundet infektioner i Storbritannien, Italien og USA.
Det menes, at SharkBot sandsynligvis er et privat botnet og stadig er i de tidlige udviklingsstadier.
SharkBot er modulær malware, som forskerne siger, hører til den næste generation af mobil malware, der er i stand til at udføre angreb baseret på det automatiske overførselssystem (ATS).
ATS giver angribere mulighed for automatisk at udfylde felter på en inficeret enhed med minimalt menneskeligt input. På samme måde som Gustuff-banktrojaneren lanceres autofill-tjenesten for at lette svigagtige pengeoverførsler gennem legitime finansielle tjenester-apps – en generel tendens i malware-udvikling og et pivot fra ældre tyveriteknikker på mobiltelefoner, såsom brugen af phishing domæner.
Cleafy foreslår, at SharkBot bruger denne teknik i et forsøg på at omgå adfærdsanalyser, biometriske kontroller og multi-factor authentication (MFA) – da ingen ny enhed skal tilmeldes. Men for at gøre det skal malware først kompromittere Android Accessibility Services.
Når den er udført på et Android-håndsæt, vil SharkBot straks anmode om tilgængelighedstilladelser – og vil plage offeret med pop-ups, indtil dette er givet.
Intet installationsikon vises. Nu bevæbnet med alle de håndsættilladelser, det har brug for, vil SharkBot derefter stille og roligt udføre standardvindueoverlejringsangreb for at stjæle legitimationsoplysninger og kreditkortoplysninger, tyveri baseret på ATS og er også i stand til at logge på tasterne og både opsnappe eller skjule indgående SMS-beskeder.
Forskerne siger, at banktrojaneren også er i stand til at udføre “gestik” på ofrets vegne.
Apps leveret af internationale banker og kryptovalutatjenester bliver målrettet.
En af de bedste ting er, at der ikke er fundet prøver i det officielle Android-applager, Google Play Butik. I stedet skal malwaren indlæses fra en ekstern kilde gennem sideindlæsning – en praksis, som leverandøren har advaret om, kan være farlig, da dette tillader ondsindede apps at omgå Google Plays sikkerhedskontrol.
I skrivende stund har SharkBot lave registreringsrater af antivirusløsninger.
“Med opdagelsen af SharkBot har vi vist nye beviser for, hvordan mobil malware hurtigt finder nye måder at udføre svindel på og forsøger at omgå modforanstaltninger til adfærdsdetektering, der er indført af flere banker og finansielle tjenester i løbet af sidste år,” siger Cleafy. “Ligesom udviklingen af workstation-malware fandt sted i de seneste år, på mobilområdet, ser vi en hurtig udvikling hen imod mere sofistikerede mønstre som ATS-angreb.”
Tidligere og relateret dækning
Meris botnet angreb KrebsOnSecurity
Denne malware-botnet-bande har stjålet millioner med et overraskende simpelt trick
Dette ransomware-spredningende malware-botnet vil bare ikke forsvinde< br>
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre