Fox IT SharkBot Google Play Google Европа США cookie NCC Group
Вредонос SharkBot вшит в два приложения, имеющие более 60 тысяч скачиваний в Google Play.
Новая, обновленная версия вредоносной программы SharkBot вернулась в Google Play Store. Вредонос нацелен на банковские данные пользователей, которые устанавливают с виду безобидные приложения, которые на самом деле являются дропперами для SharkBot.
Согласно сообщению в блоге Fox IT, подразделения
NCC Group – компания, занимающаяся обеспечением информационной безопасности, штаб-квартира которой находится в Манчестере, Великобритания. В сферу ее услуг входит депонирование и проверка программного обеспечения, консалтинг в области кибербезопасности и управляемые услуги. NCC Group обслуживает более 15 000 клиентов по всему миру."
data-html="true" data-original-title="NCC Group"
>NCC Group, двумя вредоносными приложениями являются "Mister Phone Cleaner" и "Kylhavy Mobile Security", которые в совокупности имеют 60 000 загрузок. И хотя эти два приложения были удалены из Google Play, пользователи, установившие их, все еще находятся в зоне риска.
22 августа исследователи из Fox IT обнаружили новую версию SharkBot (2.25), которая позволяет злоумышленникам с помощью новой команды “logsCookie” красть сессионные
Файл cookie — это информация, которую веб-сайт размещает на компьютере пользователя. Файлы cookie хранят ограниченную информацию о сеансе веб-браузера на данном веб-сайте, которую затем можно получить и использовать в будущем."
data-html="true" data-original-title="Cookie"
>cookie-файлы, когда жертва входит в системы банковских счетов.
По словам специалистов, в более старых версиях дроппер устанавливает SharkBot, нажимая на кнопки в пользовательском интерфейсе. Однако новая версия дроппера для SharkBot делает запрос на C&C-сервер злоумышленников, чтобы получить APK-файл вредоноса.
Как только APK-файл загружался на устройство жертвы, дроппер уведомляет пользователя о наличии обновления и призывает установить загруженный файл, а затем предоставить все необходимые разрешения.
Чтобы усложнить обнаружения, SharkBot хранит свою конфигурацию в зашифрованном виде с использованием алгоритма RC4.
В ходе расследования IT-специалисты Fox IT обнаружили, что вредоносная кампания с использованием SharkBot направлена на Испанию, Австрию, Германию, Польшу и Австрию, а также США. Эксперты ожидают, что кампаний с использованием SharkBot будет еще больше, поскольку новая версия вредоноса активно распространяется среди злоумышленников.
SECURITYLAB.RU
