نسخه جدید بدافزار Sharkbot در حال انتشار است؛ مراقب اپ‌های گوگل پلی باشید

نسخه جدیدی از بدافزار شارک بات (Sharkbot) که اپلیکیشن‌های بانکی و رمزارزی را هدف قرار می‌دهد، در Google Play ظاهر شده است. نسخه جدید این بدافزار می‌تواند کوکی‌ صفحه ورود کاربران به حساب‌ها را سرقت کند و الزام ثبت اثر انگشت یا احراز هویت را دور بزند.

به گزارش میهن بلاکچین و به نقل از کوین تلگراف، هشداری در مورد نسخه جدید بدافزار توسط آلبرتو سگورا (Alberto Segura) و مایک استوکل (Mike Stokkel) در تاریخ ۲ سپتامبر (۱۱ شهریور) در حساب‌های توییتر آن‌ها به اشتراک گذاشته شد و این دو، مقاله مشترکی در این مورد در وبلاگ Fox IT منتشر کردند:

ما نسخه جدیدی از SharkbotDropper را در Google Play کشف کردیم که برای دانلود و نصب Sharkbot استفاده می‌شود! این Dropperها در کمپینی که انگلستان و ایتالیا را هدف قرار می‌داد پیدا شدند!

کارت عالی بود مایک استوکل!

به گفته سگورا، نسخه جدید این بدافزار می‌تواند «حملات همپوشانی (Overlay Attacks) انجام دهد، داده‌ها را از طریق کی لاگینگ (Keylogging) به سرقت ببرد، پیام‌های SMS را رهگیری کند، یا با سوءاستفاده از سرویس‌های دسترسی (Accessibility Services)، کنترل کامل دستگاه قربانی را در اختیار مهاجمان قرار دهد.»

نسخه جدید بدافزار در دو برنامه اندروید یافت شد: «Mister Phone Cleaner» و «Kylhavy Mobile Security» که به ترتیب ۵۰٬۰۰۰ بار و ۱۰٬۰۰۰ بار دانلود شده‌اند. این دو برنامه توانستند به Play Store راه پیدا کنند چراکه بررسی اتوماتیک کد توسط گوگل، نتوانست کد مخرب را شناسایی کند.

نسخه قبلی بدافزار Sharkbot برای نصب خودکار SharkbotDropper به مجوزهای دسترسی متکی بود. اما نسخه جدید از این جهت متفاوت است که «از قربانی می‌خواهد تا بدافزار را به‌عنوان یک به‌روزرسانی جعلی برای آنتی‌ویروس نصب کند».

پس از نصب، در صورتی که قربانی وارد حساب بانکی یا رمزارزی خود شود، شارک بات می‌تواند کوکی اطلاعات او را از طریق دستور logsCookie بدست آورد، که اساسا هر روش احراز هویت مورد استفاده از جمله اثر انگشت را دور می‌زند.

جالبه!
بدافزار اندرویدی Sharkbot دیالوگ «ورود با اثرانگشت خود» رو لغو می‌کنه تا کاربران مجبور بشن نام کاربری و رمز عبور رو وارد کنن!
(بر اساس پست وبلاگ Fox IT)

اولین نسخه بدافزار Sharkbot اولین بار توسط کلیفای (Cleafy) در اکتبر ۲۰۲۱ (مهر ۱۴۰۰) کشف شد. طبق اولین تجزیه و تحلیل کیفی از Sharkbot، هدف اصلی آن «انتقال پول از دستگاه‌های قربانی از طریق تکنیک سیستم‌های انتقال خودکار (ATS) با دور زدن مکانیسم‌های احراز هویت چندعاملی» بود.