Бесплатно Экспресс-аудит сайта:

06.09.2022

Акула, поедающая cookie-файлы жертв, вернулась в Google Play

Новая, обновленная версия вредоносной программы SharkBot вернулась в Google Play Store. Вредонос нацелен на банковские данные пользователей, которые устанавливают с виду безобидные приложения, которые на самом деле являются дропперами для SharkBot.

Согласно сообщению в блоге Fox IT, подразделения NCC Group , двумя вредоносными приложениями являются "Mister Phone Cleaner" и "Kylhavy Mobile Security", которые в совокупности имеют 60 000 загрузок. И хотя эти два приложения были удалены из Google Play, пользователи, установившие их, все еще находятся в зоне риска.

22 августа исследователи из Fox IT обнаружили новую версию SharkBot (2.25), которая позволяет злоумышленникам с помощью новой команды “logsCookie” красть сессионные cookie -файлы, когда жертва входит в системы банковских счетов.

По словам специалистов, в более старых версиях дроппер устанавливает SharkBot, нажимая на кнопки в пользовательском интерфейсе. Однако новая версия дроппера для SharkBot делает запрос на C&C-сервер злоумышленников, чтобы получить APK-файл вредоноса.

Как только APK-файл загружался на устройство жертвы, дроппер уведомляет пользователя о наличии обновления и призывает установить загруженный файл, а затем предоставить все необходимые разрешения.

Чтобы усложнить обнаружения, SharkBot хранит свою конфигурацию в зашифрованном виде с использованием алгоритма RC4.

В ходе расследования IT-специалисты Fox IT обнаружили, что вредоносная кампания с использованием SharkBot направлена на Испанию, Австрию, Германию, Польшу и Австрию, а также США. Эксперты ожидают, что кампаний с использованием SharkBot будет еще больше, поскольку новая версия вредоноса активно распространяется среди злоумышленников.