Nuevo troyano bancario para Android llamado "Sharkbot", su forma de ataque y cómo defenderse
¿Malware? ¿No es un antivirus?
Una aplicación antivirus descargada para prevenir hackeos, pero esta aplicación ha sido controvertida ya que se ha descubierto que es un malware malicioso que infiltra los dispositivos móviles de los usuarios, manipula las aplicaciones bancarias y remite activos al exterior.
"Sharkbot", un troyano que apareció por primera vez en octubre de 2021 y sigue perturbando a Google. Estas aplicaciones pueden descargarse fácilmente desde la tienda oficial de Google Play, pero se convierten en aplicaciones maliciosas en algún momento después de ser instaladas en el teléfono inteligente del usuario.

¿Qué es Sharkbot?
Sharkbot es un troyano bancario de nueva generación para Android descubierto por el equipo de Inteligencia de Amenazas de la empresa de seguridad Cleafy. Sharkbot se hace pasar por una aplicación móvil o una aplicación comúnmente utilizada con un nombre e ícono familiares.
¿Cómo engañaron a Google?
Por lo general, las aplicaciones deben pasar por un proceso de preinspección antes de ser registradas en tiendas oficiales como Google Play. Sin embargo, Sharkbot fue registrado como una aplicación segura, como si fuera una aplicación legítima, engañando a Google. ¿Cómo sucedió esto?
Según el análisis, Sharkbot tiene una variedad de funciones anti-análisis que le permiten detectar entornos de sandbox o ajustar el tiempo de activación del hackeo. Lo más importante es que las funciones maliciosas completas se descargan adicionalmente desde servidores C&C externos. Esta es la razón por la que no se encontraron problemas durante la inspección de Google Play.
Es muy difícil detectar a Sharkbot, que tiene un algoritmo de generación de dominios (DGA) que puede cambiar libremente el dominio C&C externo y funciones de geofencing que desactivan las funciones maliciosas en áreas específicas.
¿Cómo obtuvo Sharkbot permisos de los usuarios?
El Sharkbot descargado en el smartphone del usuario revela su malicia en el momento en que recibe una orden externa. Sharkbot es similar a otros malwares como TeaBot y UBEL, y muestra ventanas emergentes maliciosas que piden repetidamente permisos extensivos para robar la información sensible del usuario. Al igual que otros malwares similares, Sharkbot muestra ventanas emergentes maliciosas que requieren repetidamente autorizaciones extensas para robar la información sensible del usuario.
Source : cleafy
Sharkbot podrá obtener todos los permisos (declarados en el archivo AndroidManifest) necesarios para hackear la aplicación bancaria una vez que los permisos de accesibilidad y los servicios sean activados por el usuario.
Luego, Sharkbot utiliza la autoridad del servicio de accesibilidad de Android para mostrar una ventana superpuesta sobre una aplicación bancaria móvil normal, con el fin de inducir al usuario a ingresar información personal, obtener las credenciales de inicio de sesión de la aplicación bancaria adquirida y enviarlas a un servidor malicioso.
Source : cleafy
Android permission of the Sharkbot
Esta información se utiliza para acceder a correos electrónicos, redes sociales, cuentas bancarias en línea y más. Con los permisos mostrados en la figura anterior, Sharkbot puede leer o enviar mensajes de texto y realizar ataques de superposición. En particular, el permiso REQUEST_IGNORE_BATTERY_OPTIMIZATIONS podría eludir el componente de suspensión de Android y conectar con el servidor C2 para continuar con sus acciones maliciosas.
Ahora el dinero es transferido fuera de la cuenta bancaria de la víctima. Durante este proceso, Sharkbot puede interceptar los mensajes SMS del dispositivo y usarlos para obtener el 2FA enviado por el banco. Como los atacantes no tienen que registrar un nuevo dispositivo para realizar actividades fraudulentas, es difícil detectar que el dinero está siendo robado, incluso si el dinero es transferido desde la cuenta bancaria de la víctima.
La forma en que SharkBot evita la detección
SharkBot tiene una tecnología para evitar la detección por parte de antivirus. Incluye varias características para evitar el análisis y la detección, como la inspección y ejecución de emuladores, la encriptación de la comunicación de comando y control con servidores remotos, y el ocultamiento de los íconos en la pantalla de inicio después de la instalación. Las cadenas de texto pueden ser ofuscadas para ralentizar el análisis estático y ocultar todos los comandos e información sensible utilizada por el malware. A continuación, se presenta una lista de otras características de evasión que utiliza SharkBot.
- Anti-emulador: Determina si está en un teléfono real o en un emulador cuando el malware se instala en un dispositivo.
- Módulo ATS externo: El malware instalado descarga módulos adicionales desde C2, y los módulos externos son archivos “.JAR” que contienen todas las funciones usadas para realizar ataques ATS. Este módulo es analizado por SharkBot en el párrafo del módulo ATS.
- Ocultar ícono de la app: Si el programa malicioso está instalado, SharkBot oculta el ícono de la aplicación de la pantalla del dispositivo.
- Prevenir eliminación: SharkBot usa servicios de accesibilidad para evitar que los usuarios desinstalen el programa desde las opciones de configuración, como otros malware.
- Comunicación encriptada: Toda la comunicación entre el malware y C2 está encriptada y codificada con Base64, además de usar el algoritmo de generación de dominios (DGA).
Cómo detectar y prevenir SharkBot
Mientras varias compañías de seguridad y tiendas intentan defenderse, ya no es seguro confiar en tiendas como la App Store y Google Play. Los usuarios deben estar alerta ahora que continuamente se descubren nuevas versiones de aplicaciones maliciosas que intentan hackear bancos. Es por esto que los usuarios deben evitar instalar aplicaciones de fuentes desconocidas o que requieran permisos excesivos, y actualizar periódicamente su antivirus legítimo a la versión más reciente. Además, es importante que los individuos revisen cuidadosamente las opiniones, el número de descargas y la información del desarrollador antes de descargar una aplicación. También se recomienda sospechar y revisar las aplicaciones que soliciten permisos para servicios de accesibilidad, a menos que haya un caso especial.
Las empresas que proporcionan aplicaciones bancarias deben tomar medidas proactivas para fortalecer la seguridad de las aplicaciones y detectar y bloquear malware malicioso. LIAPP puede detectar aplicaciones conocidas como SharkBot mediante detección de patrones. Además, LIAPP puede evitar que SharkBot hackee las aplicaciones bancarias realizando funciones como la detección de superposición, la detección de programas de control remoto y la prevención de programas de captura de pantalla.
Si eres una empresa de servicios de aplicaciones bancarias, por favor contacta con el equipo de LIAPP sobre SharkBot.
Proporcionaremos una consulta más detallada.
LIAPP, ofrecemos el mejor servicio posible.