La aplicación de malware SharkBot reaparece en la tienda de aplicaciones de Google

Una nueva versión actualizada de una aplicación de malware que ataca cuentas bancarias y criptomonedas  ha reaparecido recientemente en la tienda de Google Play, ahora con la capacidad de robar las cookies de los inicios de sesión de las cuentas y eludir los requisitos de huella digital o autenticación.

El analista de malware Alberto Segura y el analista de inteligencia de tratamiento Mike Stokkel compartieron el viernes en sus cuentas de Twitter una advertencia sobre la nueva versión del malware, compartiendo su artículo de coautoría en el blog Fox IT.

We discovered a new version of #SharkbotDropper in Google Play used to download and install #Sharkbot! The found droppers were used in a campaign targeting UK and IT! Great work @Mike_stokkel! https://t.co/uXt7qgcCXb

— Alberto Segura (@alberto__segura) September 2, 2022

¡Descubrimos una nueva versión de #SharkbotDropper en Google Play utilizada para descargar e instalar Sharkbot! ¡Los droppers encontrados se utilizaron en una campaña dirigida a Reino Unido y TI! Gran trabajo @Mike_stokkel! https://t.co/uXt7qgcCXb

Según Segura, la nueva versión del malware fue descubierta el 22 de agosto y puede “realizar ataques de superposición, robar datos a través de keylogging, interceptar mensajes SMS o darles a los actores de la amenaza el control remoto completo del dispositivo anfitrión abusando de los Servicios de Accesibilidad”.

La nueva versión del malware se encontró en dos aplicaciones para Android, Mister Phone Cleaner y Kylhavy Mobile Security, que han acumulado 50,000 y 10,000 descargas, respectivamente.

Las dos aplicaciones pudieron llegar inicialmente a la Play Store ya que la revisión automatizada de código de Google no detectó ningún código malicioso, aunque desde entonces han sido retiradas de la tienda.

Algunos observadores sugieren que los usuarios que instalaron las aplicaciones aún pueden estar en riesgo y deberían eliminarlas manualmente.

Un análisis en profundidad realizado por la empresa de seguridad italiana Cleafy descubrió que SharkBot había identificado 22 objetivos, entre los que se encontraban cinco exchanges de criptomonedas y varios bancos internacionales de Estados Unidos, Reino Unido e Italia.

En cuanto al modo de ataque del malware, la versión anterior del malware SharkBot “se basaba en los permisos de accesibilidad para realizar automáticamente la instalación del malware dropper SharkBot”.

Sin embargo, esta nueva versión es diferente en el sentido de que le “pide a la víctima que instale el malware como una falsa actualización del antivirus para mantenerse protegido contra las amenazas”.

Una vez instalado, si la víctima se conecta a su cuenta bancaria o de criptomonedas, SharkBot es capaz de arrebatarle su cookie de sesión válida a través del comando “logsCookie”, que esencialmente evita cualquier huella digital o métodos de autenticación utilizados.

This is interesting!
Sharkbot Android malware is cancelling the “Log in with your fingerprint” dialogs so that users are forced to enter the username and password
(according to @foxit blog post) pic.twitter.com/fmEfM5h8Gu

— Łukasz (@maldr0id) September 3, 2022

Esto es interesante. El malware Sharkbot para Android anula los cuadros de diálogo “Inicie sesión con su huella digital” para que los usuarios se vean obligados a introducir el nombre de usuario y la contraseña (según la publicación del blog de @foxit) pic.twitter.com/fmEfM5h8Gu

La primera versión del malware SharkBot fue descubierta por primera vez por Cleafy en octubre de 2021.

Según el primer análisis de Cleafy sobre SharkBot, el objetivo principal de SharkBot era “iniciar transferencias de dinero desde los dispositivos comprometidos a través de la técnica de Sistemas de Transferencia Automática (ATS) saltándose los mecanismos de autenticación multifactor”.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Sigue leyendo:

Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.