▷ Malware SharkBot camuflado como Antivirus en Google Play Store

 

Malware SharkBot camuflado como Antivirus en Google Play Store

El malware bancario SharkBot se ha infiltrado en Google Play Store, haciéndose pasar por un antivirus para Android y a su vez ofreciendo funciones de limpieza del sistema.

Si bien no era conocida la aplicación en muchos aspectos, queda demostrado que aun pueden distribuirse malwares camufladas en otras aplicaciones, pasando desapercibida la seguridad de Google Play Store.


Unos investigadores pertenecientes al Grupo NCC fueron los que descubrieron el malware SharkBot en Google Play Store, y a causa de ello, han publicado un informe detallado sobre este malware.


¿Qué puede hacer SharkBot?

El malware fue descubierto por primera vez en octubre del 2021 gracias al equipo experto en ciberseguridad Cleafy. Su característica más importante y peligrosa que lo diferenciaba de otros troyanos bancarios, era la transferencia de dinero a través de sistemas de transferencia automática (ATS). Esto era posible simulando toques, clics y pulsaciones de botones en los dispositivos comprometidos.

NCC informó que aun sigue disponible en su nueva versión la función de transferencia del dinero, pero solo ocurre en pocos casos.


Principales funciones del malware SharkBot

En la nueva versión de SharkBot se destacan cuatro funciones que puede hacer en el dispositivo Android infectado.

Inyecciones: SharkBot utiliza este método para robar credenciales bancarias mostrando un sitio web falso al detectar que una aplicación bancaria oficial es ejecutada, donde el usuario ingresa los datos de acceso en dicha web o pantalla de inicio.

Keylogging: SharkBot utiliza el método keylogging para robar credenciales, mediante el registro de inicio de sesión y accesibilidad, logrando así enviar todo lo registrado a un servidor donde podra tener control de la cuenta.

Interceptación de SMS: SharkBot utiliza este método para interceptar y ocultar mensajes recibidos con algún código de verificación o 2FA para acceder a una cuenta.

Control remoto: Mediante los servicios de accesibilidad, SharkBot puede tener control remoto total del teléfono Android.


Conociendo estas funciones del malware, para que puedan cumplirse, es necesario que SharkBot tenga permisos concedidos en Android, y los adicionales que seguramente irá solicitando.

De esta manera, cuando SharkBot detecta que el usuario ejecute una aplicación financiera o bancaria, realizara el trabajo de inyección web para robar los datos de acceso.


El malware también puede recibir órdenes del servidor C2 para ejecutar diversas acciones como:

Enviar SMS a un número.

Cambiar el gestor de SMS.

Descargar un archivo de una URL especificada.

Recibir un archivo de configuración actualizado.

Desinstalar una aplicación del dispositivo.

Desactivar la optimización de la batería.

Mostrar la superposición de phishing.

Activar o detener ATS.

Cerrar una app específica (como una herramienta AV) cuando el usuario intenta abrirla.


Respuesta a las notificaciones

SharkBot se destaca entre otros troyanos bancarios por el uso de componentes nuevos que aprovechan la función de "respuesta directa" para las notificaciones. SharkBot puede ahora interceptar nuevas notificaciones y responder a ellas con mensajes procedentes directamente del C2.

Como se indica en el informe del NCC, SharkBot utiliza esta función para soltar cargas útiles con muchas funciones en el dispositivo comprometido, respondiendo con una URL acortada de Bit.ly.

La aplicación inicial de SharkBot contiene una versión ligera del malware real para reducir el riesgo de detección y los rechazos de la tienda de aplicaciones.

A través de la función de "respuesta automática", se obtiene una versión completa de SharkBot con ATS directamente desde el C2 y se instala automáticamente en el dispositivo.

El C2 se basa en un sistema DGA (algoritmo de generación de dominios) que dificulta la detección y el bloqueo de los dominios emisores de comandos de SharkBot.

Para protegerte de troyanos peligrosos como SharkBot, nunca confíes ciegamente en ninguna aplicación de la Play Store y trata de mantener al mínimo las aplicaciones instaladas en tu dispositivo.

Si buscas un antivirus para Android, hay varios proveedores de confianza que ofrecen sus herramientas de forma gratuita.


Artículo Anterior Artículo Siguiente