Eine neue und aktualisierte Version der SharkBot-Malware ist einem Bericht von bleepingcomputer.com zufolge in Googles Play Store zurückgekehrt und zielt mit Hilfe von Antiviren-Apps auf Banking-Logins von Android-Benutzern ab.
Mit der SharkBot-Malware können Angreifer nahezu jede beliebige Aktion auf den infizierten Geräten ausführen und sogar Geldüberweisungen durchführen.
Die SharkBot-Malware war in zwei Android-Apps vorhanden, die bei der automatischen Überprüfung durch Google keinen schädlichen Code aufwiesen. Das trickreiche bei der SharkBot-Malware ist, dass sie erst in einem Update hinzugefügt wird, nachdem der Benutzer die schädlichen Dropper-Apps installiert und gestartet hat.
Bei den beiden schädlichen Apps handelt es sich um „Mister Phone Cleaner“ und „Kylhavy Mobile Security“. Inzwischen wurden die beiden Anwendungen aus dem Google Play Store entfernt.
Benutzer, die „Mister Phone Cleaner“ und/oder „Kylhavy Mobile Security“ installiert haben, sind immer noch gefährdet und sollten sie umgehend manuell entfernen!
Ein keks-liebender Hai, der Cookies von Bankkonto-Logins stiehlt
SharkBot wurde erstmalig im Oktober 2021 entdeckt. Im März 2022 fand die NCC Group die ersten Apps, die auf Google Play mit der Maleware SharkBot infiziert waren.
SharkBot konnte beispielweise Overlay-Angriffe durchführen, Daten durch Keylogging stehlen, SMS-Nachrichten abfangen oder Angreifern durch den Missbrauch der Accessibility-Services (Services für die Barrierefreiheit) die vollständige Fernsteuerung des Host-Geräts ermöglichen.
Im Mai 2022 wurde die weiterentwickelte Malware SharkBot 2 und am 22. August die neueste neue Version der Malware in der Version 2.25 entdeckt. Die neueste Version ermöglicht es den Angreifern Cookies von Bankkonto-Logins zu stehlen.
Wie wird ein Android-Gerät mit SharkBot infiziert?
Nach der Installation kontaktiert die sogenannte Dropper-App den Command-and-Control-Server (C2) und fordert die schädliche SharkBot-APK-Datei an. Anschließend benachrichtigt der Dropper den Benutzer darüber, dass ein Update verfügbar ist, und fordert ihn auf, das APK zu installieren und alle erforderlichen Berechtigungen zu erteilen.
Um die automatische Erkennung der Malware zu erschweren, speichert SharkBot seine Konfiguration in verschlüsselter Form.
Die Overlay-, SMS-Abfang-, Fernsteuerungs- und Keylogging-Systeme sind in der neuen SharkBot-Version 2.25 immer noch vorhanden. Darüber hinaus wurde ein Cookie-Logger hinzugefügt. Der Cookie-Logger ist besonders gefährlich für Nutzer von Bank-Apps.
Was macht den neu hinzugefügten Cookie-Logger von SharkBot so gefährlich?
Wenn sich das Opfer bei seinem Bankkonto anmeldet, schnappt sich SharkBot mit dem Befehl („logsCookie“) ein gültiges Sitzungscookie (Session-Cookie) und sendet es an den Command-and-Control-Server (C2).
Session-Cookies sind für die Übernahme von Konten sehr wichtig und wertvoll, da sie Software- und Standortparameter enthalten, die den Angreifern dabei helfen, Fingerabdruckprüfungen oder Benutzerauthentifizierungstoken zu umgehen.
Während der Untersuchung beobachtete Fox IT neue SharkBot-Angriffe in Europa (Spanien, Österreich, Deutschland, Polen, Österreich) und den USA. Dabei stellten die Sicherheits-Forscher fest, dass die Malware bei den Angriffen die Keylogging-Funktion verwendet und sensible Informationen direkt aus der offiziellen App stiehlt.
Da aktuell nun eine verbesserte Version der Malware verfügbar ist, ist von einer Fortsetzung der SharkBot-Angriffe und einer Weiterentwicklung der Malware auszugehen.
Was ist eine Dropper App?
Android/Trojan.Dropper ist eine bösartige App, die zusätzliche bösartige Apps in ihrer Payload enthält. Der Android/Trojan.Dropper installiert nahezu unbemerkt zusätzliche bösartige Apps auf einem infizierten Mobilgerät.