Verwijder News-duboma.cc Toon meldingen

Onlangs hebben de onderzoekers van het Check Point Research (Check Point-onderzoek) team waarschuwde gebruikers over het nog steeds aanwezige gevaar van Sharkbot-malware die dit jaar op Google Play is gevonden. Hoewel de bevindingen onmiddellijk aan Google werden gerapporteerd en verwijderd, het team zegt dat ze nieuwe kwaadaardige Sharkbot-applicaties hebben gevonden.

Wat is Sharkbot-malware??

Sharkbot is een Android-stealer die zich voordoet als een AV-oplossing op Google Play. Deze malware steelt bankgegevens en inloggegevens terwijl het geofencing en andere ontwijkingstechnieken implementeert waardoor het echt opvalt. Een interessant aspect waar cyberbeveiligingsspecialisten op wijzen: een algoritme voor het genereren van domeinen (DGA) — wordt zelden gebruikt door Android-malware.

Op het apparaat van het slachtoffer maakt de malware vensters die goedaardige invoerformulieren nabootsen, slachtoffers lokken om hun inloggegevens in te voeren.

De gecompromitteerde gegevens worden vervolgens naar een kwaadwillende server gestuurd. Sharkbot gebruikt zijn geofencing-functie om alleen specifieke slachtoffers te targeten, met uitzondering van gebruikers uit Oekraïne, Wit-Rusland, Roemenië, Rusland, India en China. Bovendien werkt het niet als het in een sandbox wordt uitgevoerd.

Verwijder News-duboma.cc Toon meldingen
De toepassingen waarvan is vastgesteld dat ze schadelijk zijn

In de Google Play Store het CheckPoint-onderzoek (Check Point-onderzoek) team zag in totaal zes verschillende applicaties die malware verspreidden. Volgens de informatie die van die applicaties is ontvangen op het moment van ontdekking, waren ze al ongeveer gedownload en geïnstalleerd 15 duizend keer.

Drie ontwikkelaarsaccounts die worden beschuldigd van het verspreiden van de malware: Bingo zoals inc, Adelmio Pagnotto en Zbynek Adamcik. Onder nauwlettend toezicht door cybersecurity-specialisten werd bekend dat twee van de genoemde accounts al actief waren in het najaar van 2021.

Verwijder News-duboma.cc Toon meldingen
Statistieken over kwaadaardige apps

Sommige apps die vermoedelijk tot deze accounts behoorden, zijn verwijderd van Google Play, maar bestaan ​​nog steeds op niet-officiële sites. Cybersecurity-specialisten leggen uit dat dit zou kunnen betekenen dat ontwikkelaars van Sharkbot proberen zo onopgemerkt mogelijk te blijven terwijl ze bezig zijn kwaadaardige activiteit.

Technische analyse van Sharkbot

commando's

Om over de belangrijkste functionaliteit van malware te praten, werkt Sharkbot met traditionele Android-toolkits voor bankiers en stelen. Cybersecurity-specialisten gevonden 27 versies van de bot.

In totaal, Sharkbot kan implementeren 22 commando's. Met gebruik van een Command-and-Control-server (CnC) op het gecompromitteerde apparaat, dreigingsactoren kunnen verschillende soorten kwaadaardige acties uitvoeren.

Die uitgevoerde commando's zijn de volgende::

app verwijderen

Eigenlijk is dit geen commando maar een veld van het updateConfig commando. Tijdens het uitvoeren van deze opdracht maakt de server een uitgebreide lijst met apps die van het apparaat van het slachtoffer moeten worden verwijderd. Momenteel is de lijst geldig 680 applicatie namen.

autoReply

Dus het principe is zo simpel als kopiëren en plakken, je hoeft alleen maar een enkel controleteken 'u202E . in te voegen, dit is niet het eigenlijke commando maar een veld in het updateConfig commando. Tijdens deze opdracht stuurt de server een bericht dat een antwoord nabootst op push-gebeurtenissen.

Veeg

Deze opdracht imiteert de veegbeweging van de gebruiker op het scherm van een apparaat. Cybersecurity-specialisten gaan ervan uit dat dit is gedaan om bedreigingsactoren in staat te stellen de applicatie of het hele apparaat te openen.

APP_STOP_VIEW

Hier maakt de CnC pakketnamen en vervolgens geeft de toegankelijkheidsservice gebruikers geen toegang tot de genoemde apps.

stuurPush

De opdracht toont een gebruiker een push-bericht met aangewezen tekst.

iWantA11

Schakelt de toegankelijkheidsservice voor Sharkbot in.

getDoze

Schakelt batterij-optimalisatie uit voor Sharkbot's pakket.

changeSmsAdmin

Verzamelt de namen van oude en momenteel gebruikte standaard sms-applicaties naar de kwaadaardige CnC.

collectContacten

Verzamelt en verzendt gestolen contacten naar kwaadwillende servers.

app verwijderen

Deze opdracht verwijdert de naam in de pakket-app.

SMSSend

De actie controleert of de toestemming voor het verzenden van sms'jes is verleend. Als de toestemming wordt verleend, kan de malware sms'jes lezen en verzenden.

Er zijn ook enkele kleine commando's die verantwoordelijk zijn voor voornamelijk innerlijk werk van de Sharkbot.

Verwijder News-duboma.cc Toon meldingen
Sharkbot-serveractiviteit geregistreerd door het team

netwerk

Er is niet zo veel malware die kan werken zonder CnC-servercommunicatie. Bankiers en stelen zijn degenen die de communicatie met de CnC-server nodig hebben. En hier komt een interessant feit over deze specifieke malware.

Wanneer bedreigingsactoren al hun servers hebben geblokkeerd, kunnen ze Domain Generation Algorithm gebruiken, het ding dat bijna nooit wordt gebruikt in Android-malware, maar Sharkbot is een uitzondering.

DGA is een algoritme waarbij een kwaadwillende client en een kwaadwillende actor de CnC-server wijzigen zonder dat er enige communicatie plaatsvindt. Met dit algoritme is het moeilijker te blokkeren malware servers van de operator.

DGA zal uit twee delen bestaan: het eigenlijke algoritme, en de constanten die dit algoritme gebruikt. De constanten worden DGA-zaden genoemd.

Protocol en een knock-packet

De uitwisseling in de CnC-server vindt plaats via HTTP met POST-verzoek op pad /. Zowel verzoeken als antwoorden worden versleuteld met RC4.

Van tijd tot tijd zal de bot binnen de duidelijk ingestelde tijd een knock-packet naar de server sturen. Standaard, het pakket wordt elke 30 seconden. De tijdsperiode kan worden gewijzigd met het commando updateTimeKnock.

infrastructuur

Op het moment van publicatie van een rapport, het Check Point-onderzoek (Check Point-onderzoek) team gevonden 8 IP-adressen die op verschillende tijdstippen werden gebruikt door Sharkbot-operators.

Onderzoekers gaan ervan uit dat er eigenlijk één echte server is en dat de andere gewoon relais zijn. De piekactiviteit van de kwaadaardige operatie gestegen in maart; cyberbeveiligingsspecialisten hebben dit feit in verband gebracht met het actieve gebruik van Sharkbot's dropper op Google Play.

Verwijder News-duboma.cc Toon meldingen
Statistieken van doelen

Volgens de locatiegebaseerde statistieken waren de belangrijkste doelen in het Verenigd Koninkrijk en Italië.

Druppelaars

In het begin, de malware wordt gedownload en geïnstalleerd vermomd als een AV-oplossing. Eenmaal op de computer van het slachtoffer detecteert de Sharkbot emulators en als er een wordt gevonden, stopt hij met werken.

In het geval dat een emulator wordt gevonden, er zal geen communicatie met CnC plaatsvinden. Maar de malware wordt helemaal niet uitgevoerd als de landinstelling Oekraïne is, Wit-Rusland, Rusland, Roemenië, India en China.

Dat deel van de applicatie dat wordt bestuurd door de CnC-server begrijpt: 3 commando's:

  • Het APK-bestand downloaden en installeren vanaf de opgegeven URL;
  • Het autoReply-veld opslaan in een lokale sessie;
  • De uitvoering van de lokale sessie opnieuw starten;

Ze vragen allemaal om dezelfde set machtigingen.

Vervolgens zullen zij de dienst registreren om toegang te krijgen tot Toegankelijkheidsevenementen.

Conclusie

In het snelle tempo van het leven van vandaag kun je soms een rood teken van malware in een app store missen. Als laatste gaf het CheckPoint Research Team korte adviezen over hoe de kwaadaardige apps te vermijden, vooral die zoals deze vermomd als een AV-oplossing:

  • Meld onmiddellijk alle verdachte apps die je in de winkel tegenkomt;
  • Vermijd het downloaden van een applicatie van een nieuwe uitgever, probeer in plaats daarvan een analoge te vinden van een vertrouwde uitgever;
  • Installeer alleen applicaties van vertrouwde en bekende uitgevers.

Hoewel Google de schadelijke applicaties onmiddellijk heeft verwijderd, waren ze al gedownload 15,000 duizend keer. De schade is aangericht. Het feit toont eens te meer aan dat er nog steeds rekening moet worden gehouden met het bewustzijn van gebruikers bij de beslissing om een ​​app al dan niet te downloaden.

Andrew Nail

Cybersecurity-journalist uit Montreal, Canada. Heeft communicatiewetenschappen gestudeerd aan Université de Montreal. Ik wist niet zeker of een journalistieke baan is wat ik in mijn leven wil doen, maar in combinatie met technische wetenschappen, het is precies wat ik graag doe. Het is mijn taak om de meest actuele trends in de cyberbeveiligingswereld op te vangen en mensen te helpen omgaan met malware die ze op hun pc's hebben.

Laat een antwoord achter

Terug naar boven knop