Quando o assunto é cibersegurança, nós não temos um minuto de paz. A cada momento surgem novas ameaças ou alguma existente é potencializada. Agora, por exemplo uma versão nova e atualizada do malware SharkBot retornou à Play Store do Google.
A nova atualização do SharkBot visa logins bancários de usuários do Android por meio de aplicativos que possuem dezenas de milhares de instalações.
Malware SharkBot ressurge na Play Store
O malware estava presente em dois aplicativos Android que não apresentavam nenhum código malicioso quando submetidos à revisão automática do Google. No entanto, o SharkBot é adicionado em uma atualização que ocorre após o usuário instalar e iniciar os aplicativos dropper.
De acordo com uma postagem no blog da Fox IT (Via: Bleeping Computer), parte do NCC Group, os dois aplicativos maliciosos são “Mister Phone Cleaner” e “Kylhavy Mobile Security”, contando coletivamente 60.000 instalações.
Os dois aplicativos foram removidos do Google Play, mas os usuários que os instalaram ainda correm risco e devem removê-los manualmente.
SharkBot evoluiu
Analistas de malware da Cleafy, uma empresa italiana de gerenciamento e prevenção de fraudes online, descobriram o SharkBot em outubro de 2021. Em março de 2022, o NCC Group encontrou os primeiros aplicativos que o carregavam no Google Play. Naquela época, o malware poderia realizar ataques de sobreposição, roubar dados por meio de keylogging, interceptar mensagens SMS ou fornecer aos agentes de ameaças controle remoto completo do dispositivo host, abusando dos Serviços de Acessibilidade.
Em maio de 2022, pesquisadores da ThreatFabric detectaram o SharkBot 2 que vinha com um algoritmo de geração de domínio (DGA), um protocolo de comunicação atualizado e um código totalmente refatorado. Em 22 de agosto, no entanto, pesquisadores da Fox IT descobriram uma nova versão do malware (2.25), que adiciona a capacidade de roubar cookies de logins de contas bancárias.
Além disso, os novos aplicativos dropper não abusam dos Serviços de Acessibilidade como faziam antes. “Abusando das permissões de acessibilidade, o dropper conseguiu clicar automaticamente em todos os botões mostrados na interface do usuário para instalar o Sharkbot. Mas este não é o caso desta nova versão do conta-gotas para Sharkbot”, aponta a Fox IT.
Para dificultar a detecção automatizada, o SharkBot armazena sua configuração codificada em formato criptografado usando o algoritmo RC4.
Os sistemas de sobreposição, interceptação de SMS, controle remoto e registro de teclas ainda estão presentes no SharkBot 2.25, mas um registrador de cookies foi adicionado a eles.
Quando a vítima faz login em sua conta bancária, o SharkBot captura seu cookie de sessão válido usando um novo comando (“logsCookie”) e o envia para o C2. Os cookies são valiosos para assumir contas porque contêm parâmetros de software e localização que ajudam a contornar verificações de impressão digital ou, em alguns casos, o próprio token de autenticação do usuário.
Durante a investigação, a Fox IT observou novas campanhas do SharkBot na Europa (Espanha, Áustria, Alemanha, Polônia, Áustria) e nos EUA.
