Troianul bancar SharkBot, identificat pentru prima oară în octombrie 2021 de o echipă de cercetători din cadrul Cleafy Threat Intelligence Team, introduce o nouă tehnologie prin care victimele acestui malware pot rămâne fără banii din conturile bancare. Spre deosebire de alte aplicații din familia troienilor bancari care au scopul de a exfiltra credențiale bancare, SharkBot inițiază și realizează tranzacții bancare în numele victimei.
Codul sursă al aplicației malițioase a fost identificat în mai multe aplicații de tip antivirus disponibile în Google Play, fapt care indică disponibilitatea acestui troian doar pe sistemul de operare Android.
Modalitatea de infectare și răspândire
După cum am menționat, acest troian este disponibil doar la nivelul dispozitivelor care utilizează sistemul de operare Android, care oferă anumite funcții facile pentru distribuirea ulterioară.
Infectarea se realizează prin descărcarea anumitor aplicații din magazinul Google Play, care sunt prezentate ca fiind soluții antivirus, dar care conțin codul malițios al lui SharkBot. Ulterior infectării, aplicația malițioasă va comunica cu un server de comandă și control, prezent în codul sursă, de pe care sunt descărcate celelalte componente utilizate de troian.
În privința distribuirii ulterioare s-au identificat, în codul sursă al aplicației, pasaje care exploatează funcțiile de Direct Reply și Auto Reply, introduse de Android în anul 2016. Mai exact, prin aceste două funcții dispozitivul infectat este setat să răspundă în mod automat la orice notificare primită cu un mesaj generic de tipul:
”Get Free Antivirus for Android https://bit.ly/******”.
Acest link scurt va redirecționa o nouă victimă spre una dintre aplicațiile malițioase de pe Google Play.
| Vezi și articolul nostru: Short URL – o scurtătură spre infectare
Funcționalitățile SharkBot
Scopul acestui troian este unul foarte clar, mai exact obținerea de credențiale bancare și de inițiere de tranzacții bancare. Pentru realizarea acestui scop, SharkBot prezintă următoarele funcționalități:
- Phishing: în momentul accesării unei aplicații de banking, troianul va genera și deschide automat o pagină de autentificare identică. Prin formularul fals de autentificare, atacatorul va prelua credențialele de acces, acestea fiind transmise către serverul de comandă și control;
- Keylogger: SharkBot deține și funcții de keylogger prin care înregistrează toate input-urile de text și locul unde au fost inserate, ulterior fiind transmise către serverul C2;
- Interceptare mesaje SMS: prin această funcționalitate, SharkBot poate intercepta și chiar bloca SMS-uri primite de victimă, în cele mai dese cazuri aceste SMS-uri conținând coduri necesare autentificării în doi pași (2FA);
- Control de la distanță: această funcție aduce elementul de noutate, fiind exploatată funcția de Transfer Automat (Automatic Transfer System), prin care se pot realiza transferuri bancare fără știința victimei.
Transferul Automat (Automatic Transfer System / ATS)
Pentru familia de troieni bancari, utilizarea acestei funcții este un element de noutate pe care SharkBot îl aduce, dat fiind faptul că prin această funcție se pot realiza transferuri bancare și transmiterea de mesaje.
În primă fază, aplicația malițioasă înregistrează un șir de evenimente (pasaje de text introduse, butoane sau zone ale ecranului apăsate) care au loc în timpul utilizării unei aplicații de banking. Ca mai apoi, aplicația să recreeze modelul sau codul PIN pentru autentificare, astfel pe baza accesului dobândit, troianul urmând să efectueze tranzacții în numele victimei.
Această tehnologie nu este regăsită în prezent și în alte aplicații malițioase similare, deoarece pregătirea codului necesită personalizarea acestuia pentru aplicații de banking diferite. Dar ce s-a putut observa este că prin înregistrarea modelului sau codului PIN și funcționalitatea de interceptare a SMS-urilor, SharkBot poate evita mecanismele de protecție oferite de autentificarea în doi pași. De asemenea, prin faptul că tranzacțiile sunt efectuate în numele victimei și chiar de pe dispozitivul acestuia, nu ridică suspiciuni mecanismelor anti-fraudă adoptate la nivelul băncilor.
În concluzie, putem afirma că SharkBot este un troian bancar periculos prin modalitatea facilă de infectare a unei victime și din cauza funcționalităților vaste pe care le deține. Este de remarcat și utilizarea acestei noi tehnologii (ATS), care oferă atacatorului acces asupra contului bancar al victimei din aplicația de banking.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter, Facebook sau Telegram.