La familia de malware SharkBot fue descubierta en octubre del año pasado y desde entonces ha evolucionado con nuevas formas de piratear las aplicaciones bancarias y criptográficas basadas en Android de los usuarios. Además, acaba de surgir en el mercado Google Play una versión recientemente mejorada de software bancario y criptográfico dirigido a malware, ahora con la capacidad de recopilar cookies de inicios de sesión de cuentas y eludir restricciones biométricas o de autenticación.
El viernes, el analista de malware Alberto Segura y el analista de inteligencia de tratamiento Mike Stokkel advirtieron sobre la versión más reciente del virus en sus cuentas de Twitter, junto con un enlace a su artículo en coautoría en el blog de Fox IT.
La última versión del virus, encontrada el 22 de agosto, puede “realizar ataques de superposición, robar datos mediante registros de teclas, interceptar mensajes SMS u ofrecer a los actores de amenazas un control remoto total del dispositivo host mediante la explotación de los Servicios de Accesibilidad”, según Segura.
La nueva variante de malware se descubrió en dos aplicaciones de Android, Mister Phone Cleaner y Kylhavy Mobile Security, que tuvieron 50.000 y 10.000 descargas, respectivamente. Inicialmente, las dos aplicaciones fueron aceptadas en Play Store porque la revisión automática de códigos de Google no encontró ningún código dañino, pero posteriormente fueron retiradas. Sin embargo, algunos comentaristas creen que los clientes que instalaron las aplicaciones siguen siendo vulnerables y deberían desinstalarlas manualmente.
Una investigación en profundidad realizada por la empresa de seguridad italiana Cleafy descubrió que SharkBot había identificado 22 objetivos, incluidos cinco intercambios de criptomonedas y varios bancos multinacionales en los Estados Unidos, el Reino Unido e Italia. En términos del modo de ataque del malware, la versión anterior “se basaba en permisos de accesibilidad para ejecutar automáticamente la instalación del malware SharkBot”.
Esta última versión, sin embargo, “pide al usuario que instale el malware como una actualización falsa para que el antivirus se mantenga protegido contra amenazas”. Una vez instalado, cuando una víctima ingresa a su cuenta bancaria o de criptomonedas, SharkBot puede robar su cookie de sesión válida con el comando “logsCookie”, evitando así cualquier técnica de autenticación o huella digital.
limpio detectó la primera variante del virus SharkBot en octubre de 2021. El objetivo principal de SharkBot, según la primera investigación de Cleafy, era “iniciar transferencias de dinero desde dispositivos infectados utilizando el enfoque de Sistemas de Transferencia Automática (ATS) evadiendo medidas de autenticación multifactor”.
Imagen de portada: Megapixl @Andriezas
