A fertőzött applikációt az NCC Group kiberbiztonsági vállalat szakértői azonosították a Google Play-en. Az „Antivirus, Super Cleaner” nevű appról van szó, amely egy profi vírusirtó képében tetszelgett, a valóságban azonban a SharkBot nevű trójaival fertőzte meg a letöltők készülékeit. A szakértők időben észlelték a fenyegetettséget, így alig több mint 1000 ember készülékére került fel a szoftver.
Miért veszélyes?
A SharkBot nevű malware-t először a Cleafy biztonsági cég azonosította 2021 októberében. Ez egy úgynevezett banki trójai, amely képes pénzutalásokat kezdeményezni a megfertőzött eszközökről automatikus átutalási rendszereken (ATS) keresztül. Ez azért lehetséges, mert szimulálni tudja a felhasználók érintéseit, kattintásait és gombnyomásait.
Az NCC jelentése szerint a pénzátutalási funkció még mindig elérhető a legújabb verzióban, de csak speciális támadások esetén használják.
A SharkBot legújabb verziójának négy fő funkciója a következő:
- Overlay támadás: A SharkBot hitelesítő adatokat lophat azáltal, hogy egy webes űrlapot (WebView) jelenít meg egy hamis bejelentkezési oldalon (adathalászat), amint észleli a hivatalos banki alkalmazás megnyitását.
- Billentyűnaplózás: A Sharkbot el tudja lopni a hitelesítő adatokat azáltal, hogy naplózza a kisegítő lehetőségeket (a szövegmezők változása, billentyűleütések, kattintások)
- A Sharkbot képes elfogni/elrejteni az SMS-üzeneteket.
- Távoli kapcsolat/ATS: a Sharkbot teljesen át tudja venni az irányítást egy Android-eszköz felett (az akadálymentesítési szolgáltatásokon keresztül).
A fentiek végrehajtásához a malware visszaél az Android kisegítő lehetőségeivel, majd szükség szerint további engedélyeket ad magának.
Úgy tűnik, a Google idő közben törölte az appot, de ez nem jelenti azt, hogy a fertőzött eszközökről is eltűnt volna, így érdemes saját kezűleg is eltávolítani a készülékről, ha valaki letöltötte.
