ISGroup Cybersicherheitsberatung

SharkBot Android-Banking-Trojaner: Eine neue Ära von ATS-Angriffen auf Mobilgeräten

SharkBot, das im Oktober 2021 vom Threat-Intelligence-Team von Cleafy entdeckt wurde, ist ein fortschrittlicher Android-Banking-Trojaner, der auf Banken und Kryptowährungsdienste im Vereinigten Königreich, in Italien und in den USA abzielt. Diese Malware repräsentiert eine neue Generation mobiler Bedrohungen mit innovativen Fähigkeiten, insbesondere durch die Nutzung von Automatic Transfer System (ATS)-Angriffen. Diese Angriffe umgehen herkömmliche Authentifizierungsmechanismen und ermöglichen es Angreifern, betrügerische Aktivitäten ohne direkte Benutzerinteraktion zu verstärken.

Datum2024-12-06 15:28:40
Informationen
  • Trending

Technische Zusammenfassung

SharkBot nutzt die Android-Bedienungshilfen (Accessibility Services), um seine schädlichen Aktivitäten auszuführen, darunter:

  • ATS-Angriffe: Automatisches Ausfüllen von Feldern in legitimen Banking-Apps, um nicht autorisierte Geldtransfers durchzuführen.
  • Overlay-Angriffe: Imitation von Login-Bildschirmen der Apps, um Anmeldedaten und Kreditkartendaten zu stehlen.
  • Keylogging: Überwachung und Aufzeichnung sensibler Benutzereingaben.
  • SMS-Abfangen: Erfassung von SMS-basierten Zwei-Faktor-Authentifizierungscodes.
  • Vollständige Fernsteuerung: Simulation von Gesten und Klicks zur Manipulation des Geräts.

Wichtige Funktionen und Techniken:

  1. Analyse-Umgehung:

    • String-Obfuskation, um Befehle und C2-Details zu verbergen.
    • Erkennung von Emulatoren, um Sandboxes zu umgehen.
    • Verschlüsselte Kommunikation mittels Base64-Kodierung und einem Domain Generation Algorithm (DGA).

  2. Fortgeschrittener Missbrauch von Berechtigungen:

    • Nutzt REQUEST_IGNORE_BATTERY_OPTIMIZATIONS, um die Verbindung zu C2-Servern aufrechtzuerhalten.
    • Verwendet Bedienungshilfen, um Einstellungen zu manipulieren und die Deinstallation zu verhindern.

  3. Modulares Design:

    • Lädt eine externe .jar-Datei vom C2-Server herunter, die die ATS-Funktionalitäten enthält.

Indikatoren für eine Kompromittierung (IOCs):

  • App-Namen: Media Player HD.
  • Paketname: com.pycdvgljmfgh3hgp8jo72giu.omflsx1q2g.
  • C2-Domains: sharkedtest1[.]xyz, sharkedtestuk[.]xyz.
  • MD5-Hash: f7dfd4eb1b1c6ba338d56761b3975618.

Empfehlungen

Für Organisationen (Banken, Krypto-Plattformen):

  1. Verhaltensanalyse: Implementierung fortschrittlicher Erkennungsmechanismen, um Anomalien bei Benutzeraktionen (z. B. ATS-Angriffe) zu identifizieren.
  2. Zero-Trust-Richtlinien: Alle Transaktionen, auch von vertrauenswürdigen Geräten, mit zusätzlicher Aufmerksamkeit behandeln.
  3. Überwachung und Warnungen: Aktive Überwachung auf Overlays und unerwartete Ereignisse in den Bedienungshilfen innerhalb der eigenen Apps.
  4. Sensibilisierungskampagnen: Aufklärung der Benutzer über neu auftretende Bedrohungen wie SharkBot und die Risiken, die durch die Erteilung übermäßiger Berechtigungen entstehen.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *