Una versión mejorada del conocido malware SharkBot ha regresado a la Play Store de Google, este se encuentra dirigido a los inicio de sesión de los usuarios de Android, a través de las aplicaciones que poseen decenas de miles de instalaciones.
El malware se encuentra presente en dos aplicaciones de Android, que aunque te suene sospechoso, no presentaban ningún código malicioso cuando fueron enviados a la revisión automática de Google.
Te recomendamos | BugDrop: el nuevo malware que intenta eludir los controles de seguridad de Android 13
Sin embargo, debemos destacar que SharkBot se agrega en una actualización que ocurre, momentos después de que el usuario instala e inicia aplicaciones del cuentagotas.
Las dos aplicaciones maliciosas que te hemos mencionado, son «Mister Phone Cleaner» y «Kylhavy Mobile Security» que en conjunto han llegado a acumular la no tan despreciable cantidad de 60.000 mil descargas.
Cabe destacar, que ambas aplicaciones ya fueron eliminadas de la Play Store, pero todos los demás usuarios que ya la instalaron deben proceder a eliminarlas manualmente, ya que aún se encuentran en riesgo.
El malware SharkBot llega evolucionado y presenta una sería amenaza
El malware SharkBot fue descubierto en el año 2021, gracias a los analistas de malware de Cleafy, una agencia de origen italiana de gestión y prevención de fraudes en línea.
Pero no fue sino hasta el año 2022, que NCC GROUP encontró las primeras aplicaciones que lo incluían en la Google Play, en este momento el malware puede realizar ataques superpuestos, robas datos a través de las teclas.
Puede interceptar mensajes SMS o dar acceso total a los actores de amenazas, para que estos tengan un control remoto completo del dispositivo infectado, al abusar de los servicios de accesibilidad.
Un dato interesante, es que las nuevas aplicaciones cuentagotas no abusan de los servicios de accesibilidad como lo solían hacer anteriormente.
Abusando de los permisos de accesibilidad, en cuentagotas puede fácilmente hacer clic de manera automática en todos y cada uno de los botones que se muestran en la interfaz de usuario para instalar el malware SharkBot, dijo Fox IT
En cambio, el cuentagotas ahora hará una solicitud al servidor C2 para recibir de manera directa el archivo APK de SharkBot, no recibirá un enlace de descarga junto con los pasos para instalar el malware, usando funciones de «Automatic Transfer Systems» (ATS), lo que normalmente este ya hacía
Una vez instalada, la aplicación cuentagotas inicia el contacto con el servidor de comando y control (C2), solicitando que el archivo APK malicioso del malware SharkBot.
Luego de esto, el cuentagotas procede a alertar al usuario de que existe una actualización disponible, y le pide que instale el APK y posteriormente le otorgue todos los permisos que sean necesarios.
Para asegurar que se dificulte la detección automática, SharkBot almacena su configuración codificada de forma cifrada mediante la ayuda del algoritmo RC4.
SharkBot y su peculiar fascinación con las cookies
Los sistemas de superposición, intersección de SMS, control remoto y también registro de teclas todavía con características que se encuentran presentes en el malware SharkBot 2.25; pero se ha agregado lo que se conoce cómo un registrador de cookies encima de ellos.
Cabe destacar, que cuando alguna de las víctimas inicio sesión en sus cuentas bancarias, SharkBot toma está cookie de sesión válida mediante un nuevo comando que lleva por nombre:
- «LogsCookie» y la envía al C2
Recuerda que las cookies son altamente valiosas para hacerse cargo de las cuentas, ya que poseen software y parámetros de ubicación que ayudan a eludir los controles de huellas dactilares, y en muchos casos, el mismo token de autenticación del usuario.
Durante su investigación, Fox IT dijo que las nuevas campañas del malware SharkBot en Europa, España, Austria, Alemania, Polonia y EE.UU, notaron que dicho malware usa en estos ataques la función de registro de teclas y roba la información confidencial de manera directa de la aplicación oficial.
Gracias a que existe una versión mejorada de este malware, se espera que continúen las campanas de SharkBot y una evolución rápida del malware.