×

Акула, поедающая cookie-файлы жертв, вернулась в Google Play

Акула, поедающая cookie-файлы жертв, вернулась в Google Play

Вредонос SharkBot вшит в два приложения, имеющие более 60 тысяч скачиваний в Google Play.

Новая, обновленная версия вредоносной программы SharkBot вернулась в Google Play Store. Вредонос нацелен на банковские данные пользователей, которые устанавливают с виду безобидные приложения, которые на самом деле являются дропперами для SharkBot.

Согласно сообщению в блоге Fox IT, подразделения NCC Group – компания, занимающаяся обеспечением информационной безопасности, штаб-квартира которой находится в Манчестере, Великобритания. В сферу ее услуг входит депонирование и проверка программного обеспечения, консалтинг в области кибербезопасности и управляемые услуги. NCC Group обслуживает более 15 000 клиентов по всему миру.

" data-html="true" data-original-title="NCC Group">NCC Group, двумя вредоносными приложениями являются "Mister Phone Cleaner" и "Kylhavy Mobile Security", которые в совокупности имеют 60 000 загрузок. И хотя эти два приложения были удалены из Google Play, пользователи, установившие их, все еще находятся в зоне риска.

22 августа исследователи из Fox IT обнаружили новую версию SharkBot (2.25), которая позволяет злоумышленникам с помощью новой команды “logsCookie” красть сессионные Файл cookie — это информация, которую веб-сайт размещает на компьютере пользователя. Файлы cookie хранят ограниченную информацию о сеансе веб-браузера на данном веб-сайте, которую затем можно получить и использовать в будущем.

" data-html="true" data-original-title="Cookie">cookie-файлы, когда жертва входит в системы банковских счетов.

По словам специалистов, в более старых версиях дроппер устанавливает SharkBot, нажимая на кнопки в пользовательском интерфейсе. Однако новая версия дроппера для SharkBot делает запрос на C&C-сервер злоумышленников, чтобы получить APK-файл вредоноса.

Как только APK-файл загружался на устройство жертвы, дроппер уведомляет пользователя о наличии обновления и призывает установить загруженный файл, а затем предоставить все необходимые разрешения.

Чтобы усложнить обнаружения, SharkBot хранит свою конфигурацию в зашифрованном виде с использованием алгоритма RC4.

В ходе расследования IT-специалисты Fox IT обнаружили, что вредоносная кампания с использованием SharkBot направлена на Испанию, Австрию, Германию, Польшу и Австрию, а также США. Эксперты ожидают, что кампаний с использованием SharkBot будет еще больше, поскольку новая версия вредоноса активно распространяется среди злоумышленников.

Sysdig: каждый заработанный криптомайнерами доллар обходится жертве в 53 доллара

Эксперты рассчитали ущерб, проанализировав изучив крупную майнинговую кампанию Chimaera.

Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

Инструмент может быть тесно связан с APT-группировкой Lazarus.