El malware SharkBot se esconde como antivirus de Android en Google Play

El malware bancario SharkBot se ha infiltrado en Google Play Store, el repositorio oficial de aplicaciones de Android, haciéndose pasar por un antivirus con capacidades de limpieza del sistema.

Aunque la aplicación troyana estaba lejos de ser popular, su presencia en Play Store muestra que los distribuidores de malware aún pueden eludir las defensas automáticas de Google. La aplicación todavía está presente en la tienda de Google en el momento de escribir este artículo.

La aplicación Android atada que lleva SharkBot
La aplicación Android atada que lleva SharkBot
Detalles del editor en Play Store
Detalles del editor en Play Store

SharkBot fue descubierto en Google Play por investigadores del Grupo NCC, quienes publicaron hoy un análisis técnico detallado del malware.

Índice de contenidos
  1. ¿Qué puede hacer SharkBot?
  2. Responder a las notificaciones

¿Qué puede hacer SharkBot?

Cleafy descubrió el malware por primera vez en octubre de 2021. Su característica más importante, que lo diferenciaba de otros troyanos bancarios, era la transferencia de dinero a través de Automatic Transfer Systems (ATS). Esto fue posible mediante la simulación de toques, clics y pulsaciones de botones en dispositivos comprometidos.

NCC informa que la función de transferencia de dinero todavía está disponible en la última versión, pero solo se usa en algunos casos de ataques avanzados.

Las cuatro funciones principales de la última versión de SharkBot son:

  • Inyecciones (ataque de superposición): SharkBot puede robar credenciales al mostrar contenido web (WebView) con un sitio web de inicio de sesión falso (phishing) tan pronto como detecta que se abrió la aplicación bancaria oficial
  • Registro de teclas: Sharkbot puede robar credenciales registrando eventos de accesibilidad (relacionados con cambios en los campos de texto y botones pulsados) y enviando estos registros al servidor de comando y control (C2)
  • intercepción de SMS: Sharkbot puede interceptar/ocultar mensajes SMS.
  • Mando a distancia / ATS: Sharkbot tiene la capacidad de obtener el control remoto completo de un dispositivo Android (a través de los Servicios de Accesibilidad).

Para realizar lo anterior, SharkBot abusa del permiso de Accesibilidad en Android y luego se otorga permisos adicionales según sea necesario.

De esta forma, SharkBot puede detectar cuándo el usuario abre una aplicación bancaria, realiza las inyecciones web coincidentes y roba las credenciales del usuario.

El malware también puede recibir comandos del servidor C2 para ejecutar varias acciones como:

  • Enviar SMS a un número
  • Cambiar administrador de SMS
  • Descargar un archivo desde una URL específica
  • Reciba un archivo de configuración actualizado
  • Desinstalar una aplicación del dispositivo
  • Deshabilitar la optimización de la batería
  • Pantalla de superposición de phishing
  • Activar o detener ATS
  • Cierre una aplicación específica (como una herramienta AV) cuando el usuario intente abrirla

Responder a las notificaciones

Una de las diferencias notables entre SharkBot y otros troyanos bancarios para Android es el uso de componentes relativamente nuevos que aprovechan la función de "Respuesta directa" para las notificaciones.

SharkBot ahora puede interceptar nuevas notificaciones y responderlas con mensajes provenientes directamente del C2.

El código para la función de respuesta automática
El código para la función de respuesta automática (Grupo NCC)

Como se indica en el informe de NCC, SharkBot utiliza esta función para colocar cargas útiles ricas en funciones en el dispositivo comprometido respondiendo con una URL de Bit.ly abreviada.

La aplicación cuentagotas SharkBot inicial contiene una versión ligera del malware real para reducir el riesgo de detección y rechazo de la tienda de aplicaciones.

A través de la función de 'respuesta automática', se obtiene una versión completa de SharkBot con ATS directamente desde el C2 y se instala automáticamente en el dispositivo.

Respuesta C2 descifrada que ordena la descarga de la carga útil
Respuesta C2 descifrada que ordena la descarga de la carga útil (Grupo NCC)

El C2 se basa en un sistema DGA (algoritmo de generación de dominio) que dificulta la detección y el bloqueo de los dominios emisores de comandos de SharkBot.

Para protegerse de troyanos peligrosos como SharkBot, nunca confíe ciegamente en ninguna aplicación en Play Store e intente mantener al mínimo las aplicaciones instaladas en su dispositivo.

Si está buscando un antivirus para Android, hay varios proveedores confiables que ofrecen sus herramientas de forma gratuita.

Descubre más contenido

Subir Change privacy settings