Der berüchtigte Android-Bankentrojaner SharkBot ist wieder einmal im Google Play Store aufgetaucht und hat sich als Antiviren- und Cleaner-App getarnt.
„Dieser neue Dropper verlässt sich nicht auf die Zugriffsrechte, um die Installation des Droppers Sharkbot Malware automatisch durchzuführen“, so Fox-IT von der NCC Group in einem Bericht. „Stattdessen fordert diese neue Version das Opfer auf, die Malware als gefälschtes Update für das Antivirenprogramm zu installieren, um vor Bedrohungen geschützt zu bleiben.“
Die fraglichen Apps, Mister Phone Cleaner und Kylhavy Mobile Security, haben zusammen über 60.000 Installationen und zielen auf Nutzer in Spanien, Australien, Polen, Deutschland, den USA und Österreich ab.
Mister Phone Cleaner (com.mbkristine8.cleanmaster, 50.000+ Downloads)
Kylhavy Mobile Security (com.kylhavy.antivirus, 10.000+ Downloads)
Die Dropper sollen eine neue Version von SharkBot abwerfen, die von der niederländischen Sicherheitsfirma ThreatFabric als V2 bezeichnet wird und über einen aktualisierten Command-and-Control (C2)-Kommunikationsmechanismus, einen Domain-Generierungsalgorithmus (DGA) und eine vollständig überarbeitete Codebasis verfügt.
Fox-IT hat nach eigenen Angaben am 22. August 2022 eine neuere Version 2.25 entdeckt, die eine Funktion zum Abgreifen von Cookies einführt, wenn sich die Opfer bei ihren Bankkonten anmelden, und gleichzeitig die Möglichkeit entfernt, automatisch auf eingehende Nachrichten mit Links zur Verbreitung der Malware zu antworten.
Die Umgehung der Zugriffsrechte für die Installation von SharkBot zeigt, dass die Betreiber aktiv an ihren Techniken feilen, um einer Entdeckung zu entgehen und angesichts der von Google neu eingeführten Beschränkungen zur Eindämmung des Missbrauchs der APIs alternative Methoden zu finden.
Zu den weiteren bemerkenswerten Möglichkeiten des Informationsdiebstahls gehören das Einfügen von gefälschten Overlays, um die Zugangsdaten von Bankkonten abzufangen, das Protokollieren von Tastenanschlägen, das Abfangen von SMS-Nachrichten und die Durchführung betrügerischer Geldüberweisungen mit dem Automated Transfer System (ATS).
Es ist keine Überraschung, dass Malware eine sich ständig weiterentwickelnde und allgegenwärtige Bedrohung darstellt. Trotz der kontinuierlichen Bemühungen von Apple und Google sind die App Stores anfällig dafür, unwissentlich für die Verbreitung missbraucht zu werden, wobei die Entwickler dieser Apps alle möglichen Tricks anwenden, um die Sicherheitsprüfungen zu umgehen.
„Bis jetzt scheinen sich die Entwickler von SharkBot auf den Dropper konzentriert zu haben, um den Google Play Store auch in den neuesten Kampagnen für die Verbreitung ihrer Malware zu nutzen“, so die Forscher Alberto Segura und Mike Stokkel.