SharkBot, un troyano bancario y botnet para Android que ataca a usuarios de Europa

Recomendados:  Atención pública al ciudadano: hacia una relación de 360 grados Evento Identificación de ataques web Leer

WatchGuard Technologies alerta de la creciente incidencia de un novedoso troyano bancario y botnet para Android bautizado como "SharkBot", que fue descubierto a finales de octubre de 2021, y que está empezando a dirigirse a los usuarios de Estados Unidos y Europa.

El malware debe instalarse en un dispositivo Android mediante sideloading (instalación manual), y una vez instalado, el troyano intenta habilitar los Servicios de Accesibilidad de Android utilizando continuamente una falsa ventana emergente hasta que el usuario acepta. Tras haber sido aceptado, el malware puede habilitar el registro de claves, interceptar los mensajes SMS y controlar remotamente el dispositivo porque los permisos se concedieron a través de la falsa ventana emergente.

Básicamente, los Servicios de Accesibilidad maliciosos pueden leer cualquier cosa que un usuario pueda leer y pueden recrear cualquier acción que un usuario pueda realizar en el dispositivo. Una vez que se obtiene la persistencia y se habilitan los permisos, SharkBot intenta realizar transferencias de dinero utilizando una técnica de llamada ataque de Sistemas de Transferencia Automática (ATS), que permite a los atacantes rellenar automáticamente los campos de las aplicaciones y realizar transferencias de dinero.

Además, SharkBot también realiza ataques de superposición en los que una aplicación maliciosa idéntica se superpone a la aplicación legítima y captura los datos rellenados por el usuario. Se sabe que SharkBot ha atacado varias aplicaciones bancarias e incluso algunas aplicaciones de intercambio de criptomonedas; cinco aplicaciones de intercambio para ser exactos.

“Dado que SharkBot es capaz de realizar cualquier acción y leer cualquier cosa en el dispositivo que el usuario pueda a través de los Servicios de Accesibilidad y realizar ataques de superposición y ATS, este malware es capaz de eludir los inicios de sesión e incluso la autenticación multifactor (MFA)", explica Corey Nachreiner, CSO de WatchGuard Technologies.

"SharkBot" tiene un bajo índice de detección de antivirus debido a varios factores integrados en el malware. En primer lugar, el malware parece haber sido escrito desde cero y no está basado en ninguna otra familia de malware conocida. Y, en segundo lugar, cuenta con varias técnicas antianálisis, como cadenas ofuscadas que dificultan la captura de IoC, detección de emuladores de Android y utiliza un algoritmo de generación de dominios (DGA) para sus C2 (aunque los C2 conocidos de SharkBot tienen todos la palabra "sharked").

“Otro aspecto de SharkBot que merece la pena mencionar es que hay varios indicadores que muestran que SharkBot se encuentra en una fase temprana de desarrollo y cabe suponer que se avecinan nuevas iteraciones de SharkBot. Por lo tanto, es importante estar al tanto de esta familia de malware", continua Corey Nachreiner. “La buena noticia es que no se ha encontrado en la Google Play Store y solo se puede cargar de forma lateral”.