Τους τελευταίους δύο μήνες, ερευνητές ασφαλείας εντόπισαν αρκετές εφαρμογές στο Google Play που είχαν σχεδιαστεί για τη λήψη του trojan SharkBot Android.
Το SharkBot αναλύθηκε αρχικά τον Νοέμβριο του 2021, όταν διανεμόταν μόνο μέσω καταστημάτων εφαρμογών τρίτων. Η απειλή επικεντρώθηκε κυρίως στην έναρξη μη εξουσιοδοτημένων μεταφορών χρημάτων μέσω Συστημάτων Αυτόματης Μεταφοράς (ATS) με αυτόματη συμπλήρωση πεδίων σε νόμιμες εφαρμογές.
Στις αρχές Μαρτίου, το NCC Group ανέφερε ότι αρκετά droppers SharkBot είχαν μπει στο Google Play, τα οποία έδειχναν όλα τον ίδιο κώδικα και συμπεριφορά.
Το πρώτο σταγονόμετρο SharkBot που βρέθηκε στο Google Play υποδυόταν ως εφαρμογή προστασίας από ιούς. Προσδιορίστηκε ως μια υποβαθμισμένη έκδοση του trojan που περιέχει μόνο ελάχιστες δυνατότητες, αλλά μπορεί να πάρει και να εγκαταστήσει την πλήρη έκδοση σε μεταγενέστερη ημερομηνία.
Ο όμιλος NCC ανακάλυψε ότι η απειλή έκανε κατάχρηση της δυνατότητας «Άμεση απάντηση» Android – όπου αποστέλλονται αυτόματα ειδοποιήσεις απάντησης – για να στείλει ένα μήνυμα για λήψη της ψεύτικης εφαρμογής προστασίας από ιούς. Η ίδια στρατηγική χρησιμοποιήθηκε στο παρελθόν από το κακόβουλο λογισμικό Flubot Android.
Την ίδια περίπου περίοδο που η NCC Group δημοσίευσε την έρευνά της για το Android trojan, το Check Point βρήκε τέσσερα droppers SharkBot στο Google Play και τα ανέφερε στην Google. Μεταμφιέστηκαν ως εφαρμογές ασφάλειας και βελτιστοποίησης και αφαιρέθηκαν από το επίσημο κατάστημα εφαρμογών στις 9 Μαρτίου.
Τις επόμενες αρκετές εβδομάδες, ωστόσο, οι ερευνητές παρατήρησαν συνεχείς προσπάθειες από τους προγραμματιστές του trojan να δημοσιεύσουν ένα dropper στο Google Play. Τουλάχιστον δύο από αυτά αφαιρέθηκαν την ίδια ημέρα που υποβλήθηκαν, πριν μπορέσει κάποιος να τα κατεβάσει.
Η Check Point λέει ότι ανακάλυψε συνολικά έξι dropper στο Google Play, που δημοσιεύτηκαν από λογαριασμούς προγραμματιστών που ήταν ενεργοί το φθινόπωρο του 2021 και οι οποίοι είχαν αφαιρέσει ορισμένες από τις εφαρμογές τους από το κατάστημα. Οι εφαρμογές που αφαιρέθηκαν, λέει το Check Point, είχαν εγκατασταθεί περίπου 15.000 φορές.
Μόλις εγκατασταθεί σε μια συσκευή Android, το SharkBot ζητά άδειες που του επιτρέπουν να ελέγχει τη συσκευή, παρακινώντας τον χρήστη να του παραχωρήσει πρόσβαση στη δυνατότητα Προσβασιμότητας Android. Αυτό του επιτρέπει όχι μόνο να εκτελεί παράνομες μεταφορές χρημάτων, αλλά και να κλέβει διαπιστευτήρια χρήστη εμφανίζοντας πλαστά παράθυρα σύνδεσης.
«Αυτό που είναι ενδιαφέρον και διαφορετικό από τις άλλες οικογένειες είναι ότι το SharkBot πιθανότατα χρησιμοποιεί ATS για να παρακάμψει επίσης μηχανισμούς ελέγχου ταυτότητας πολλαπλών παραγόντων, συμπεριλαμβανομένης της ανίχνευσης συμπεριφοράς, όπως βιομετρικές μετρήσεις, ενώ ταυτόχρονα περιλαμβάνει και πιο κλασικές λειτουργίες για την κλοπή των διαπιστευτηρίων του χρήστη». Σημειώσεις του Ομίλου NCC.
Η απειλή χρησιμοποιεί επίσης geofencing – αγνοεί χρήστες από τη Λευκορωσία, την Κίνα, την Ινδία, τη Ρουμανία, τη Ρωσία και την Ουκρανία – και έναν αλγόριθμο δημιουργίας τομέα (DGA), με περίπου 56 τομείς που δημιουργούνται κάθε εβδομάδα. Οι ερευνητές εντόπισαν επίσης οκτώ διευθύνσεις IP που ο trojan χρησιμοποιούσε για εντολή και έλεγχο (C&C).