Mã độc SharkBot ẩn dưới dạng phần mềm chống virus trên Google Play

[tathoa0607]

Phần mềm đánh cắp thông tin ngân hàng SharkBot đã xuất hiện trên Google Play Store - kho ứng dụng của Android - giả dạng như một phần mềm diệt virus và làm sạch tập tin rác.

Mặc dù phần mềm độc hai này chưa phổ biến, nhưng việc nó xuất hiện trên Google Play cho thấy tin tặc chuyên phân phối phần mềm độc hại vẫn có thể bypass được “Google’s automatic defenses”.

SharkBot đã được phát hiện trên Google Play bởi các nhà nghiên cứu tại NCC Group. Phân tích kỹ thuật chi tiết về phần mềm độc hại này cũng đã được công bố bởi các chuyên gia.

​

SharkBot có thể làm gì?​

Phần mềm độc hại này được Cleafy phát hiện lần đầu tiên vào tháng 10 năm 2021. Điều đặc biệt khiến nó khác với các Banking Trojan khác là tính năng chuyển tiền qua Automatic Transfer Systems (ATS). Điều này có thể thực hiện được bằng cách mô phỏng các thao tác chạm, nhấp và nhấn nút trên các thiết bị bị xâm phạm. NCC báo cáo rằng tính năng chuyển tiền vẫn có sẵn trong phiên bản mới nhất nhưng chỉ được sử dụng trong một số trường hợp bị tấn công nâng cao.

4 chức năng chính trong phiên bản mới nhất của SharkBot là:

• Injections (overlay attack): SharkBot có thể lấy cắp thông tin đăng nhập bằng cách hiển thị nội dung web (WebView) với trang web đăng nhập giả mạo (phishing) ngay khi phát hiện ứng dụng ngân hàng được khởi chạy.
• Keylogging: Sharkbot có thể lấy cắp thông tin đăng nhập bằng cách ghi nhật ký các sự kiện trợ năng (thay đổi trường văn bản và các nút được nhấp vào) và gửi Log này đến máy chủ C2.
• Block SMS: Sharkbot có thể chặn/ẩn tin nhắn SMS.
• Điều khiển từ xa/ATS: Sharkbot có khả năng có được toàn quyền điều khiển từ xa của thiết bị Android (thông qua Accessibility Services).

Để thực hiện những điều trên, SharkBot lạm dụng quyền "Trợ năng" trên Android và sau đó tự cấp cho mình các quyền bổ sung nếu cần. Bằng cách này, SharkBot có thể phát hiện khi nào người dùng mở ứng dụng ngân hàng, thực hiện việc đưa vào web phù hợp và đánh cắp thông tin đăng nhập của họ.

Phần mềm độc hại cũng có thể nhận lệnh từ máy chủ C2 để thực hiện các hành động khác nhau như:

• Gửi SMS đến một số
• Thay đổi trình quản lý SMS
• Tải xuống tệp từ một URL được chỉ định
• Nhận tệp cấu hình cập nhật
• Gỡ cài đặt ứng dụng khỏi thiết bị
• Tắt tối ưu hóa pin
• Hiển thị lớp phủ lừa đảo
• Kích hoạt hoặc dừng ATS
• Đóng một ứng dụng cụ thể (như công cụ AV) khi người dùng cố gắng mở nó.

Một trong những điểm khác biệt đáng chú ý giữa SharkBot và các banking trojan Android khác là việc tận dụng tính năng 'auto reply' cho các thông báo. SharkBot hiện có thể chặn các thông báo mới và trả lời chúng bằng các tin nhắn đến trực tiếp từ máy chủ C2.

​

Như đã lưu ý trong báo cáo NCC, SharkBot sử dụng tính năng này để thả các payload lên thiết bị bị xâm phạm bằng cách trả lời bằng một URL rút gọn.

Ứng dụng SharkBot ban đầu chứa phiên bản khác của phần mềm độc hại thực tế để giảm nguy cơ bị phát hiện và từ chối bởi Google Play Store. Thông qua tính năng 'auto reply', một phiên bản chính thức của SharkBot có ATS được tải trực tiếp từ C2 và cài đặt tự động trên thiết bị.

C2 dựa trên hệ thống DGA (thuật toán tạo miền) khiến việc phát hiện và chặn các miền cấp lệnh SharkBot trở nên khó khăn hơn.​

Để bảo vệ bạn khỏi các trojan nguy hiểm như SharkBot, đừng bao giờ hoàn toaamf tin tưởng vào bất kỳ ứng dụng nào trên Google Play Store, chỉ nên cài đặt những phần mềm cần thiết và được phát hành bởi những nhà cung cấp phần mềm đáng tin cậy.

Theo: bleepingcomputer​