Fox IT, Google Play’de etkin olan ve Sharkbot’un yeni bir sürümünü düşüren SharkBot kötü amaçlı yazılımının yükseltilmiş bir sürümünü gözlemledi. Bu yeni damlalık, kullanıcının kötü amaçlı yazılımı, antivirüsün tehditlere karşı korunması için sahte bir güncelleme olarak yüklemesini ister.
Araştırmacılar, Google Play Store’da aktif olan “Mister Phone Cleaner” ve “Kylhavy Mobile Security” gibi iki SharkbotDopper uygulamasını sırasıyla yaklaşık 10K ve 50K kurulumla belirlediler.
Dropper’ın önceki türevleri, Sharkbot kötü amaçlı yazılımını otomatik olarak yüklemek için Erişilebilirlik izinlerine bağlı değildir, bunun yerine yeni sürümler kurbandan kötü amaçlı yazılımı yüklemesini ister.
SharkBot Kötü Amaçlı Yazılımının Yükseltilmiş Sürümü
Kötü amaçlı yazılım Ekim 2021’den beri aktif, SharkBot, bankacılık hesabı kimlik bilgilerinin çalınmasına ve çok faktörlü kimlik doğrulama mekanizmalarını atlamasına izin veren bir bankacılık Truva atı.
İtalyan bir çevrimiçi dolandırıcılık yönetimi ve önleme şirketi olan Cleafy’deki uzmanlar, SharkBot’u Ekim 2021’de buldu ve Mart 2022’de NCC Group, Google Play’de onu taşıyan ilk uygulamaları buldu.
ThreatFabric’teki araştırmacılar, bir etki alanı oluşturma algoritması (DGA), güncellenmiş bir iletişim protokolü ve tamamen yeniden düzenlenmiş bir kodla gelen SharkBot 2’yi fark ettiler. 22 Ağustos 2022’de Fox-IT’in Tehdit İstihbaratı ekibi 2.25 sürümüne sahip yeni bir Sharkbot örneği buldu; komuta ve kontrol sunucuları ile iletişim. Bu sürüm, banka hesaplarına giriş yapan kurbanlardan oturum çerezlerini çalmak için yeni bir özellik getiriyor.
Fox IT’nin blog gönderisine göre, “Erişilebilirlik izinlerini kötüye kullanan dropper, Sharkbot’u yüklemek için kullanıcı arayüzünde gösterilen tüm düğmeleri otomatik olarak tıklayabildi. Ancak Sharkbot için damlalığın bu yeni versiyonunda durum böyle değil.”
Bu durumda, dropper, Sharkbot’un APK dosyasını doğrudan almak için C2 sunucusuna bir istekte bulunacaktır. Fox BT ekibi, normalde yaptığı gibi, kötü amaçlı yazılımı ‘Otomatik Aktarım Sistemleri’ (ATS) özelliklerini kullanarak yükleme adımlarının yanı sıra bir indirme bağlantısı almayacak.
Bulaşma ve isteğin gövdesi hakkında bilgi içeren bir JSON nesnesine sahip POST istek gövdesi damlatıcısı, RC4 ve sabit kodlanmış bir anahtar kullanılarak şifrelenir. Şimdi damlalık, kullanıcıdan bu APK’yı sahte antivirüs için bir güncelleme olarak yüklemesini isteyecektir.
Fox IT, “Düşürücünün Google’ın inceleme ekibi tarafından tespit edilmesini daha da zorlaştırmak için, kötü amaçlı yazılım, RC4 kullanılarak kodlanmış ve şifrelenmiş temel bir yapılandırma içeriyor”.
SharkBot 2.25’te yer paylaşımı, SMS engelleme, uzaktan kontrol ve tuş günlüğü sistemleri hala mevcut ancak bunların üzerine bir çerez kaydedici özelliği eklendi. Bu yeni özellik, Sharkbot’un yeni bir ‘logsCookie’ komutu kullanarak bir URL ve bir Kullanıcı Aracısı değeri almasına izin verir, bunlar, alınan Kullanıcı Aracısı başlık olarak kullanılarak bu URL’yi yükleyen bir Web Görünümü açmak için kullanılacaktır.
Bu nedenle araştırmacılar, hedeflenen ülkeler listesinin İspanya, Avustralya, Polonya, Almanya, Amerika Birleşik Devletleri ve Avusturya dahil olmak üzere geliştiğini söylüyor. Özellikle, yeni hedeflenen uygulamalar tipik web enjeksiyonları kullanılarak hedeflenmez, ancak keylogging – kapmak – özellikleri kullanılarak hedeflenirler.
Güvenli Azure AD Koşullu Erişimi – Ücretsiz Teknik Belgeyi İndirin