آنتی ویروس Mister Phone Cleaner و Kylhavy Mobile Security تاکنون در مجموع 60000 بار با هدف تسریع دسترسی به حساب های بانکی دانلود شده اند که با نصب نسخه کامل تر بدافزار معروف SharkBot این کار را انجام می دهند.

این دو برنامه ابتدا در فروشگاه Google Play منتشر شدند زیرا حاوی کد مخربی نبودند که باعث شود گوگل آنها را رد کند. Mister Phone Cleaner و Kylhavy Mobile Security ابزارهایی هستند که برای انتقال بدافزار به تلفن های هوشمند اندرویدی طراحی شده اند. پس از نصب این برنامه ها، پیامی به کاربر نشان داده می شود که برای محافظت کاملتر در برابر تهدیدات، بسته به روز رسانی را نصب کند که در واقع روشی برای نصب SharkBot بر روی گوشی قربانی است.

اگرچه این برنامه ها اکنون از فروشگاه Google Play حذف شده اند، اما افرادی که قبلاً آنها را دانلود کرده اند باید در اسرع وقت آنها را حذف کنند، در غیر این صورت این احتمال وجود دارد که اطلاعات شخصی و حساب های حساس آنها از جمله حساب های بانکی آنها به خطر بیفتد.

SharkBot اولین بار در اواخر سال 2021 کشف شد و اولین برنامه های همراه در ماه مارس سال جاری در فروشگاه App Google مشاهده شد. روش کار در آن زمان سرقت اطلاعات از طریق کی لاگرها، رهگیری پیام های متنی، فریب کاربران با استفاده از حملات همپوشانی صفحه نمایش برای فاش کردن اطلاعات حساس، یا دادن کنترل از راه دور دستگاه آلوده به مجرمان سایبری با سوء استفاده از خدمات دسترسی بود.

نسخه بهبودیافته ای به نام SharkBot 2 در ماه مه مشاهده شد و Fox-IT با نسخه 2.25 در 22 آگوست مواجه شد. به روز رسانی که می تواند کوکی ها را از ورود کاربران به حساب های بانکی بدزدد. برنامه‌های تازه کشف‌شده با SharkBot 2.25 از خدمات دسترس‌پذیری سوءاستفاده نمی‌کنند و به ویژگی‌های پاسخ مستقیم نیاز ندارند، زیرا این موارد می‌توانند تأیید شدن برای انتشار رسمی در Google Play را دشوار کنند.بدافزار جدید SharkBot در عوض از سرورهای فرمان و کنترل می خواهد که فایل APK Sharkbot را مستقیماً دانلود کنند. سپس اپلیکیشن‌های Dropper کاربر را از به‌روزرسانی جدید مطلع می‌کنند و از او می‌خواهند APK را نصب کنند و مجوزهای لازم را ارائه کنند.

SharkBot پیکربندی هاردکد خود را برای جلوگیری از شناسایی خودکار رمزگذاری می کند.

هنگامی که کاربر وارد حساب بانکی خود می شود، SharkBot از لاگر خود برای حذف کوکی های جلسه معتبر و ارسال آنها به سرور فرمان و کنترل استفاده می کند. کوکی ها برای عوامل تهدید با ارزش هستند زیرا به آنها کمک می کنند تا بررسی های اثر انگشت را دور بزنند و در برخی موارد حتی به نشانه های کاربر برای احراز هویت نیاز ندارند.

SharkBot می تواند داده هایی مانند رمز عبور و موجودی حساب را از برنامه های بانکی رسمی بدزدد. البته در برخی از برنامه ها اثر انگشت می تواند از ورود مهاجمان جلوگیری کند.

به نظر می رسد SharkBot کاربران استرالیا، اتریش، آلمان، ایتالیا، لهستان، اسپانیا، بریتانیا و ایالات متحده را هدف قرار داده است.

توسعه دهندگان SharkBot هنوز در حال کار بر روی بهبود بدافزار هستند و Fox-IT انتظار دارد این تیم در آینده کمپین های بدافزار بیشتری راه اندازی کند.

برای اینکه در دام چنین برنامه هایی نیفتید، بهتر است آن ها را از ناشران ناشناس دانلود نکنید، به خصوص آنهایی که چندان مورد استقبال کاربران نیستند.

منبع: جوان آی تی