Kötü amaçlı yazılım içeren bir bankacılık ve kripto uygulamasının güncellenmiş versiyonu, Google Play Store’da yeniden gün yüzüne çıktı. Yeni versiyon, çerezlerdeki hesap bilgilerini, parmak izi veya diğer doğrulama gereklilikleri olmadan çalabiliyor.
Kötü amaçlı yazılım analisti Alberto Segura ve tehdit istihbarat analisti Mike Stokkel, 2 Eylül’de Fox IT blogunda yayımlanan bir makalelerini paylaşarak yazılımın yeni versiyonu hakkında uyardı.
We discovered a new version of #SharkbotDropper in Google Play used to download and install #Sharkbot! The found droppers were used in a campaign targeting UK and IT! Great work @Mike_stokkel! https://t.co/uXt7qgcCXb
— Alberto Segura (@alberto__segura) September 2, 2022
Segura’ya göre, yazılımın yeni versiyonu 22 Ağustos’ta tespit edildi. Yeni versiyon “overlay” saldırıları gerçekleştirebiliyor, keylogger yoluyla veri çalabiliyor, SMS mesajlarına müdahale edebiliyor ve kötü niyetli kişilere ana cihaza uzaktan tam erişim verebiliyor.
Yeni yazılım, şimdiye kadar 50.000 kez indirilen “Mister Phone Cleaner” ve 10.000 kez indirilen “Kylhavy Mobile Security” olmak üzere iki Android uygulamada bulundu.
Google’ın otomatik kod denetiminin kötü amaçlı bir kod tespit edememesi nedeniyle Play Store’a giren iki uygulama, daha sonra mağazadan kaldırıldı.
Kimi gözlemciler, uygulamayı indiren kullanıcıların hala risk altında olabileceğini ve uygulamaları elle kaldırmaları gerekebileceğini söyledi.
İtalyan güvenlik şirketi Cleafy’ın yaptığı kapsamlı araştırmada, SharkBot’un beşi kripto para borsası ve bir kısmı da ABD, Birleşik Krallık ve İtalya’daki uluslararası bankalar olmak üzere toplamda 22 oluşumu hedef aldığı tespit edildi.
Yazılımın yeni versiyonunda, mağdurdan antivirüs için sahte güncelleme yüklemesi istenerek kötü amaçlı yazılım aktarılıyor.
Yazılım indirildiğinde, mağdur banka veya kripto hesabına girdiğinde SharkBot da “logsCookie” komutuyla oturumdaki çerezleri yakalayabiliyor.
This is interesting!
Sharkbot Android malware is cancelling the “Log in with your fingerprint” dialogs so that users are forced to enter the username and password
(according to @foxit blog post) pic.twitter.com/fmEfM5h8Gu
— Łukasz (@maldr0id) September 3, 2022
SharkBot yazılımın ilk versiyonu yine Cleafy tarafından Ekim 2021’de tespit edilmişti.