Der Bedrohungsakteur, der hinter einem aufkommenden Android-Bankentrojaner namens SharkBot steckt, hat es geschafft, die Sicherheitsbarrieren im Google Play Store zu umgehen, indem er sich als Antiviren-App getarnt hat.
SharkBot gehört wie seine Malware-Pendants TeaBot, FluBot und Oscorp (UBEL) zu einer Kategorie von Finanztrojanern, die durch Umgehung von Mehrfaktor-Authentifizierungsmechanismen Zugangsdaten für Geldtransfers von kompromittierten Geräten ausspähen können. Er tauchte erstmals im November 2021 auf der Bildfläche auf.
SharkBot unterscheidet sich von TeaBot dadurch, dass er die nicht autorisierten Transaktionen über automatische Überweisungssysteme (ATS) durchführt, im Gegensatz zu TeaBot, der einen Bediener benötigt, der mit den infizierten Geräten interagiert, um die bösartigen Aktivitäten durchzuführen.
„Die ATS-Funktionen ermöglichen es der Malware, eine Liste von zu simulierenden Ereignissen zu erhalten, die dann simuliert werden, um die Geldtransfers durchzuführen“, so Alberto Segura und Rolf Govers, Malware-Analysten bei der Cybersecurity-Firma NCC Group, in einem letzte Woche veröffentlichten Bericht.
„Da diese Funktionen dazu genutzt werden können, Berührungen/Klicks und Tastendrucke zu simulieren, können sie nicht nur dazu genutzt werden, automatisch Geld zu überweisen, sondern auch andere bösartige Anwendungen oder Komponenten zu installieren“.
Mit anderen Worten: ATS wird eingesetzt, um die Betrugserkennungssysteme der Zielbank zu täuschen, indem es dieselbe Abfolge von Aktionen simuliert, die der Benutzer ausführen würde, wie z. B. das Drücken von Tasten, Klicks und Gesten, um den illegalen Geldtransfer durchzuführen.
Bei der neuesten Version, die am 28. Februar im Google Play Store entdeckt wurde, handelt es sich um eine Reihe von Dropper-Apps, die auch die Direct Reply-Funktion von Android ausnutzen, um sich auf andere Geräte zu verbreiten. Damit ist er nach FluBot der zweite Banking-Trojaner, der Benachrichtigungen für wurmfähige Angriffe abfängt.
Die Liste der bösartigen Apps, die alle am 10. Februar aktualisiert wurden, wurde bis heute insgesamt etwa 57.000 Mal installiert.
SharkBot verfügt über zahlreiche Funktionen, die es dem Angreifer ermöglichen, betrügerische Overlays in offizielle Banking-Apps einzuschleusen, um Zugangsdaten zu stehlen, Tastatureingaben zu protokollieren und die vollständige Fernsteuerung über die Geräte zu erlangen – allerdings erst, nachdem die Opfer ihm die Berechtigungen für die Zugangsdienste erteilt haben.
Die Ergebnisse kommen eine Woche, nachdem Forscher von Cleafy Details über eine neue TeaBot-Variante im Play Store veröffentlicht haben, die auf Nutzer von mehr als 400 Banking- und Finanz-Apps abzielt, darunter auch solche aus Russland, China und den USA.