Er is een nieuwe trojan voor Android-bankieren ontdekt die in staat is om multi-factor authenticatiecontroles te omzeilen door misbruik van ATS.
Eind oktober vonden cybersecurity-onderzoekers van Cleafy de malware, die niet tot een bekende familie lijkt te behoren.
De Android-malware, nu SharkBot genoemd, is opgespoord in aanvallen gericht op het stelen van geld van kwetsbare handsets die draaien op het Google Android-besturingssysteem.
Tot nu toe zijn er infecties gevonden in het VK, Italië en de Verenigde Staten.
Er wordt aangenomen dat SharkBot waarschijnlijk een privé-botnet is en zich nog in de beginfase van ontwikkeling bevindt.
SharkBot is modulaire malware die volgens de onderzoekers behoort tot de volgende generatie mobiele malware die aanvallen kan uitvoeren op basis van het Automatic Transfer System (ATS)-systeem.
Met ATS kunnen aanvallers automatisch velden invullen op een geïnfecteerd apparaat met minimale menselijke input. Op dezelfde manier als de Gustuff banking-trojan, wordt de autofill-service gelanceerd om frauduleuze geldoverdrachten te vergemakkelijken via legitieme financiële service-apps – een algemene trend in de ontwikkeling van malware en een spil van oudere diefstaltechnieken op mobiele telefoons, zoals het gebruik van phishing domeinen.
Cleafy suggereert dat SharkBot deze techniek gebruikt in een poging gedragsanalyses, biometrische controles en multi-factor authenticatie (MFA) te omzeilen – omdat er geen nieuw apparaat hoeft te worden geregistreerd. Om dit te doen, moet de malware echter eerst Android Accessibility Services in gevaar brengen.
Eenmaal uitgevoerd op een Android-toestel, zal SharkBot onmiddellijk om toegankelijkheidsrechten vragen — en zal het slachtoffer plagen met pop-ups totdat dit wordt verleend.
Er wordt geen installatiepictogram weergegeven. SharkBot is nu gewapend met alle benodigde handsetrechten en voert vervolgens stilletjes standaard vensteroverlay-aanvallen uit om inloggegevens en creditcardgegevens te stelen, diefstal op basis van ATS, en is ook in staat om inkomende sms-berichten te onderscheppen of te verbergen.
De onderzoekers zeggen dat de banktrojan ook in staat is om namens het slachtoffer “gebaren” uit te voeren.
Apps van internationale banken en cryptocurrency-services worden getarget.
Een zilveren voering is dat er geen voorbeelden zijn gevonden in de officiële Android-app-repository, de Google Play Store. In plaats daarvan moet de malware van een externe bron worden geladen via side-loading – een praktijk waarvan de leverancier heeft gewaarschuwd dat deze gevaarlijk kan zijn, omdat schadelijke apps hierdoor de beveiligingscontroles van Google Play kunnen omzeilen.
Op het moment van schrijven heeft SharkBot lage detectiepercentages door antivirusoplossingen.
“Met de ontdekking van SharkBot hebben we nieuw bewijs getoond over hoe mobiele malware snel nieuwe manieren vindt om fraude uit te voeren, in een poging om gedragsdetectie tegenmaatregelen te omzeilen die door meerdere banken en financiële diensten zijn ingesteld tijdens de vorig jaar', zegt Cleafy. “Zoals de evolutie van malware op het werkstation de afgelopen jaren plaatsvond, zien we op mobiel gebied een snelle evolutie naar meer geavanceerde patronen zoals ATS-aanvallen.”
Eerdere en gerelateerde berichtgeving
Meris-botnet valt KrebsOnSecurity aan
Deze malware-botnetbende heeft miljoenen gestolen met een verrassend eenvoudige truc
Dit ransomware-verspreide malware-botnet gaat gewoon niet weg
br>
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Security TV | Gegevensbeheer | CXO | Datacenters