มัลแวร์ SharkBot เวอร์ชันใหม่ได้กลับมาที่ Play Store ของ Google อีกครั้ง โดยมุ่งเป้าไปที่การเข้าสู่ระบบธนาคารของผู้ใช้ Android ผ่านแอปพลิเคชัน mobile banking

โดยมัลแวร์ตัวนี้อยู่ใน 2 แอปพลิเคชันบน Android ที่เมื่อส่งไปยังการตรวจสอบอัตโนมัติของ Google กลับไม่พบว่ามีโค้ดที่เป็นอันตราย เนื่องจาก SharkBot จะถูกลงเพิ่มเข้ามาในภายหลังจากการอัปเดตของทั้ง 2 แอปพลิเคชันดังกล่าว

จากรายงานของ Fox IT ซึ่งเป็นส่วนหนึ่งของกลุ่ม NCC Group พบว่าแอปพลิเคชันที่เป็นอันตราย 2 แอปดังกล่าวคือ “Mister Phone Cleaner” และ “Kylhavy Mobile Security” ซึ่งมีผู้ใช้งานติดตั้งไปแล้วกว่า 60,000 ครั้ง

ถึงแม้ 2 แอปพลิเคชันดังกล่าวจะถูกลบออกจาก Google Play แล้วแต่ผู้ใช้ที่ติดตั้งไปแล้วยังคงมีความเสี่ยง ผู้ใช้งานจึงควรถอนการติดตั้งทั้ง 2 แอปดังกล่าวออกด้วยตนเอง

วิวัฒนาการของมัลแวร์ SharkBot

นักวิเคราะห์มัลแวร์จาก Cleafy ซึ่งเป็นบริษัทจัดการ และป้องกันการฉ้อโกงออนไลน์จากอิตาลี เป็นผู้ค้นพบ SharkBot ในเดือนตุลาคม 2564 และในเดือนมีนาคม 2565 กลุ่ม NCC ก็พบแอปพลิเคชันแรกที่มีมัลแวร์นี้บน Google Play

ในขณะนั้น มัลแวร์สามารถทำการโจมตีแบบ overlay ขโมยข้อมูลผ่านระบบการบันทึกแป้นพิมพ์ ดักรับข้อความ SMS หรือให้ผู้โจมตีสามารถเข้าถึง และควบคุมเครื่องได้อย่างสมบูรณ์

ต่อมาในเดือนพฤษภาคม พ.ศ. 2565 นักวิเคราะห์ของ ThreatFabric พบ SharkBot 2 ที่มาพร้อมกับการอัปเดตอัลกอริธึมการสร้างโดเมน (DGA), เพิ่มโปรโตคอลการเชื่อมต่อ และปรับโครงสร้างโค้ดใหม่ทั้งหมด

ล่าสุดเมื่อวันที่ 22 สิงหาคม 2565 ที่ผ่านมา นักเคราะห์ของ Fox IT ค้นพบมัลแวร์เวอร์ชันใหม่ (2.25) ซึ่งเพิ่มความสามารถในการขโมยคุกกี้จากการเข้าสู่ระบบบัญชีธนาคาร

นอกจากนี้ตัวแอปพลิเคชันตั้งต้นของเวอร์ชันใหม่จะไม่มีพฤติกรรมละเมิด Accessibility Services เหมือนในเวอร์ชันก่อนหน้า

เมื่อติดตั้งแอปพลิเคชันเสร็จ แอปพลิเคชันจะเตือนผู้ใช้ว่ามีการอัปเดต และจะส่ง request ไปยังเซิร์ฟเวอร์ C2 เพื่อรับไฟล์ APK ของ Sharkbot โดยตรง ไม่ใช่เป็นลักษณะลิงค์ดาวน์โหลดเหมือนในเวอร์ชันก่อน จากนั้นจะขอให้ผู้ใช้งานติดตั้งไฟล์ APK และให้สิทธิ์ที่จำเป็นทั้งหมด

เพื่อให้การตรวจจับทำได้ยากขึ้น SharkBot จะจัดเก็บการกำหนดค่าแบบฮาร์ดโค้ดในรูปแบบที่เข้ารหัสโดยใช้อัลกอริทึม RC4

Cookie-loving shark

ใน sharkbot เวอร์ชัน 2.25 ยังคงมีการเขียนทับข้อความ, การปิดกั้น SMS, การเข้าถึงการควบคุม และการบันทึกแป้นพิมพ์ แต่มีการเพิ่มตัวบันทึกคุกกี้เพื่อส่งต่อไปยังผู้โจมตี

เมื่อผู้ใช้งานลงชื่อเข้าใช้บัญชีธนาคาร SharkBot จะขโมยคุกกี้เซสชันโดยใช้คำสั่ง (“logsCookie”) และส่งกลับไปที่ C2 เซิร์ฟเวอร์

ในระหว่างการสืบสวนทางทีม Fox IT ได้พบแคมเปญ SharkBot ครั้งใหม่นี้ในยุโรป (สเปน ออสเตรีย เยอรมนี โปแลนด์ ออสเตรีย) และสหรัฐอเมริกา นักวิเคราะห์พบว่ามัลแวร์

ด้วยมัลแวร์เวอร์ชันปรับปรุงดังกล่าว Fox IT คาดว่าแคมเปญ SharkBot จะดำเนินต่อไป และจะมีการพัฒนาไปอย่างต่อเนื่อง

ที่มา : bleepingcomputer

มัลแวร์ SharkBot ได้แทรกซึมเข้าไปอยู่ใน Google Play Store โดยปลอมตัวเป็นโปรแกรมป้องกันไวรัส

แม้ว่าตัวแอปยังไม่เป็นที่นิยม หรือถูกดาวน์โหลดไปมากนัก แต่การที่ตัวแอปยังสามารถอยู่บน Play Store ได้ แสดงให้เห็นว่าผู้เผยแพร่มัลแวร์ยังคงสามารถหลบเลี่ยงการตรวจจับของ Google ได้เป็นอย่างดีจนถึงปัจจุบัน

แอพพลิเคชั่นบน Android ที่จริง ๆ แล้วคือ SharkBot

รายละเอียดผู้เผยแพร่บน Play Store

SharkBot สามารถทำอะไรได้บ้าง?

มัลแวร์ดังกล่าวถูกค้นพบครั้งแรกโดย Cleafy ในเดือนตุลาคม 2564 โดยฟีเจอร์ที่สำคัญที่สุด ที่ทำให้แตกต่างจาก Banking Trojan อื่น ๆ คือการโอนเงินผ่านระบบโอนอัตโนมัติ (ATS) บนอุปกรณ์ที่ถูกควบคุม

(more…)