Blockchain

La aplicación criptográfica dirigida al malware SharkBot resurge en la tienda de aplicaciones de Google

La aplicación criptográfica dirigida al malware SharkBot resurge en la tienda de aplicaciones de Google

Recientemente reapareció en la tienda Google Play una versión actualizada de una aplicación bancaria y criptográfica dirigida a malware, ahora con la capacidad de robar cookies de los inicios de sesión de la cuenta y eludir los requisitos de huellas dactilares o autenticación.

El analista de malware Alberto Segura y el analista de inteligencia Mike Stokkel compartieron una advertencia sobre la nueva versión del malware en las cuentas de Twitter el 2 de septiembre, compartiendo su artículo en coautoría en el blog Fox IT.

Según Segura, la nueva versión del malware se descubrió el 22 de agosto y puede “realizar ataques superpuestos, robar datos a través del registro de teclas, interceptar mensajes SMS o dar a los actores de amenazas el control remoto completo del dispositivo host al abusar de los Servicios de Accesibilidad. ”

La nueva versión de malware se encontró en dos aplicaciones de Android: “Mister Phone Cleaner” y “Kylhavy Mobile Security”, que desde entonces acumularon 50 000 y 10 000 descargas, respectivamente.

Las dos aplicaciones pudieron llegar inicialmente a Play Store ya que la revisión de código automatizada de Google no detectó ningún código malicioso, aunque desde entonces se eliminó de la tienda.

Algunos observadores sugieren que los usuarios que instalaron las aplicaciones aún pueden estar en riesgo y deberían eliminar las aplicaciones manualmente.

Un análisis en profundidad realizado por la empresa de seguridad con sede en Italia Cleafy descubrió que SharkBot había identificado 22 objetivos, que incluían cinco intercambios de criptomonedas y varios bancos internacionales en los EE. UU., el Reino Unido e Italia.

En cuanto al modo de ataque del malware, la versión anterior del malware SharkBot “dependía de los permisos de accesibilidad para realizar automáticamente la instalación del malware SharkBot cuentagotas”.

Pero esta nueva versión es diferente porque “pide a la víctima que instale el malware como una actualización falsa para que el antivirus permanezca protegido contra las amenazas”.

Una vez instalado, si una víctima inicia sesión en su cuenta bancaria o criptográfica, SharkBot puede arrebatar su cookie de sesión válida a través del comando “logsCookie”, que esencialmente omite cualquier método de autenticación o huella digital utilizado.

La primera versión del malware SharkBot fue la primera descubierto por Cleafy en octubre de 2021.

Relacionado: La aplicación falsa y furtiva de Google Translate instala un criptominero en 112,000 PC

Según el primer análisis de Cleafy de SharkBot, el objetivo principal de SharkBot era “iniciar transferencias de dinero desde los dispositivos comprometidos a través de la técnica de Sistemas de transferencia automática (ATS) sin pasar por los mecanismos de autenticación de múltiples factores”.



Fuente