Acerca del Troyano bancario SharkBot
SharkBot es un novedoso troyano bancario y botnet para Android que fue descubierto a finales de octubre de 2021. Debe instalarse en un dispositivo Android mediante sideloading (instalación manual), y una vez instalado en un dispositivo, el troyano intenta habilitar los Servicios de Accesibilidad de Android utilizando continuamente una falsa ventana emergente hasta que el usuario acepta.
Una vez aceptado, el malware puede habilitar el registro de claves, interceptar los mensajes SMS y controlar remotamente el dispositivo porque los permisos se concedieron a través de la falsa ventana emergente. Básicamente, los Servicios de Accesibilidad maliciosos pueden leer cualquier cosa que un usuario pueda leer y pueden recrear cualquier acción que un usuario pueda realizar en el dispositivo. Una vez que se obtiene la persistencia y se habilitan los permisos, SharkBot intenta realizar transferencias de dinero utilizando una técnica de ataque bastante novedosa llamada ataque de Sistemas de Transferencia Automática (ATS). Esto permite a los atacantes rellenar automáticamente los campos de las aplicaciones y realizar transferencias de dinero. Además, SharkBot también realiza ataques de superposición en los que una aplicación maliciosa idéntica se superpone a la aplicación legítima y captura los datos rellenados por el usuario. Se sabe que SharkBot ha atacado varias aplicaciones bancarias e incluso algunas aplicaciones de intercambio de criptomonedas; cinco aplicaciones de intercambio para ser exactos. Dado que SharkBot es capaz de realizar cualquier acción y leer cualquier cosa en el dispositivo que el usuario pueda a través de los Servicios de Accesibilidad y realizar ataques de superposición y ATS, este malware es capaz de eludir los inicios de sesión e incluso la autenticación multifactor (MFA)", explica Corey Nachreiner, CSO de WatchGuard Technologies.
SharkBot tiene un bajo índice de detección de antivirus debido a varios factores integrados en el malware. En primer lugar, el malware parece haber sido escrito desde cero y no está basado en ninguna otra familia de malware conocida, de ahí que sea novedoso. Y, en segundo lugar, el malware cuenta con varias técnicas antianálisis, como cadenas ofuscadas que dificultan la captura de IoC, detección de emuladores de Android y utiliza un algoritmo de generación de dominios (DGA) para sus C2 (aunque los C2 conocidos de SharkBot tienen todos la palabra "sharked"). Por último, otro aspecto de SharkBot que merece la pena mencionar es que hay varios indicadores que muestran que SharkBot se encuentra en una fase temprana de desarrollo y cabe suponer que se avecinan nuevas iteraciones de SharkBot. Por lo tanto, es importante estar al tanto de esta familia de malware.
Las implicaciones de infectarse con SharkBot podrían ser graves, por lo que es importante conocer algunos consejos para evitar ser infectado por completo. La buena noticia es que no se ha encontrado en la Google Play Store y solo se puede cargar de forma lateral. El primer consejo es evitar la carga lateral de aplicaciones en casi todos los casos, a menos que se esté 100% seguro de su autenticidad y origen; muchos atacantes utilizan la ingeniería social para engañar a los usuarios para que instalen estas apps maliciosas. Por ejemplo, vinculando una aplicación maliciosa a una versión gratuita de un juego o una aplicación popular de pago. En segundo lugar, nunca instale una aplicación fuera de Google Play Store a menos que tenga una razón justificada para hacerlo. En tercer lugar, si una aplicación desconocida intenta solicitar permisos completos a su dispositivo y crea continuamente ventanas emergentes solicitando acceso completo, algo va mal. Asegúrese de entender los permisos que le pide una aplicación. Y, por último, el hecho de que este troyano sea capaz de saltarse la MFA no es una excusa para abandonar la MFA. La MFA sigue dificultando a los atacantes el acceso a sus cuentas.
Corey Nachreiner de WatchGuard
