Malware SharkBot en Android
Traductor
| ¿Que es Malware SharkBot? ¿Detectar troyano SharkBot? ¿Infecta Malware ShartBot? ¿Eliminar Malware SharkBot? |
¿Informe Fox-IT NCC Group?
¿SharkBot Malware y la banca?
¿Google prohibió aplicaciones ?
Toos Web - Errores
Malware SharkBot en Ingles
El malware SharkBot fue descubierto en octubre de 2021 por los analistas de malware de Cleafy y el grupo NCC encontró en marzo de este año pruebas de que estaba presente en algunas apps de Google Play. En un inicio, este virus robaba los datos a través del registro de las teclas, interceptaba mensajes SMS y podían acceder a los Servicios de Accesibilidad para tomar el control remoto de datos bancarios.
![cómo se infecta una computadora de SharkBot]( "SharkBot es un malware bancario")
¿Que es Malware SharkBot?
El malware Sharkbot es un tipo de malware móvil que afecta a los dispositivos Android.
Unos expertos en ciberseguridad han encontrado una nueva versión mejorada del malware SharkBot que se ha colado en algunas apps de la Play Store de Google. Este está pensado para acceder a los inicios de sesión de bancos en los móviles de Android y se ha introducido en actualizaciones de algunas aplicaciones que los usuarios ya tenían instaladas.SharkBot se distribuye a través de aplicaciones falsas (una de las aplicaciones conocidas es un antivirus falso llamado "Antivirus, Super Cleaner") cargado en Google Play Store y abusando de la función "Respuesta directa" en los dispositivos Android. Además, el malware se distribuye mediante ingeniería social y tácticas de phishing. Se propaga a través de canales de descarga no confiables, por ejemplo, páginas web de alojamiento de archivos no oficiales y gratuitas, redes de intercambio punto a punto, etc.
Nuevo malware Sharkbot Banking Trojan ataca aplicaciones bancarias en teléfonos Android.
El malware de Android denominado SharkBot fue descubierto durante ataques en Europa y EE. uu. dedicó a robar fondos de teléfonos móviles con el sistema operativo Google Android.
 |
Una nueva versión actualizada del malware SharkBot, diseñada para atacar a los usuarios de Android , ha llegado a la tienda de aplicaciones oficiales de Google Play Store. La tarea del malware es llegar al software bancario.
En total, dos aplicaciones que contenían SharkBot ingresaron a Play Store. En total, decenas de millas de propietarios de dispositivos móviles los instalaron. Curiosamente, en el momento de pasar las comprobaciones de Play Store, el software no contenía código malicioso.
Los autores de SharkBot actuaron correctamente: la aplicación recibió una actualización con código malicioso después de que el usuario la instalara en el sistema. Los expertos en TI de Fox señalaron en una publicación de blog que 60.000 usuarios han instalado los programas Mister Phone Cleaner y Kylhavy Mobile Security.
Google ya eliminó el software malicioso de Play Store, pero los usuarios que lograron instalarlo deben desinstalar "Mister Phone Cleaner" o "Kylhavy Mobile Security" ellos mismos.
Se habló por primera vez de SharkBot en octubre de 2021, cuando los expertos de la empresa italiana Cleafy llamaron la atención sobre la actividad del malware. En ese momento, el troyano podría superponer sus ventanas sobre aplicaciones legítimas, registrar pulsaciones de teclas, interceptar mensajes SMS e incluso proporcionar a los operadores la capacidad de controlar de forma remota un dispositivo requerido. En marzo de 2022, escribimos que SharkBot ingresó a Play Store bajo la apariencia de antivirus.
Y ya en abril, el troyano bancario intentó volver a la plataforma de la tienda oficial de aplicaciones de Android. El 22 de agosto de 2022, los investigadores de Fox IT se toparon con una nueva versión: SharkBot 2.25. Esta versión tiene una característica interesante: ahora el troyano puede robar cookies que se utilizan para iniciar sesión en cuentas de aplicaciones bancarias. El malware también utiliza Servicios de Accesibilidad.
“Anteriormente, un Malwarese instalodo en el dispositivo del usuario, que posteriormente activó los Servicios de accesibilidad para poder hacer clic en los botones de la interfaz de usuario. Así se instaló el Malware Sharkbot”,
Después de recibir un APK malicioso de C2, el Malware muestra un mensaje al usuario sobre la disponibilidad de una nueva versión de la aplicación. Se recomienda al propietario del dispositivo móvil que instale la actualización y le otorgue todos los derechos necesarios.
Para dificultar la detección por medios automáticos, SharkBot almacena la configuración codificada de forma cifrada utilizando el algoritmo RC4. Una ventaja de la funcionalidad del troyano era la capacidad de robar cookies.
La nueva versión del Malware SharkBot, según expertos de Fox IT, es capaz de robar cookies de inicios de sesión en cuentas bancarias. Además, se ha comprobado que este malware reinventado no necesita abusar de los Servicios de Accesibilidad como antes.
Una empresa de ciberseguridad detalla que realizan “una solicitud al servidor C2 para recibir directamente el archivo APK de Sharkbot” sin enviar un enlace de descarga junto con los pasos para instalarlo. De este modo, el usuario descarga directamente el servicio y la aplicación solicita que le den todos los permisos necesarios, entre los que se encuentran aquellos que vulneran su privacidad.
La investigación de Fox ITobservó que los países en los que más presencia habían visto de la nueva versión de Sharkbot eran España, Austria, Alemania, Polonia, Austria y EstadosUnidos.
![cómo se infecta una computadora de SharkBot]( "SharkBot es un malware bancario")
¿Quien detecto el troyano SharkBot?
Según una publicación del blog de Fox IT, una división de NCC Group, las dos aplicaciones maliciosas son "Mister Phone Cleaner" y "Kylhavy Mobile Security", que juntas tienen 60.000 descargas. Y aunque estas dos aplicaciones se eliminaron de Google Play, los usuarios que las instalaron aún están en riesgo. Que el troyano podría haber atacado a cientos de miles de usuarios.
Los ingenieros de Fox-IT informaron que el 22 de agosto de 2022 descubrieron una nueva versión del troyano SharkBot, en la que el malware podía analizar las cookies y extraer de ellas información sobre los inicios de sesión y las contraseñas ingresadas por la víctima. Además, el programa puede responder de forma independiente a los mensajes en nombre del usuario, suscribiéndolo así a varios servicios pagos y robando dinero.
"A pesar de los esfuerzos continuos de Apple y Google, las tiendas de aplicaciones son vulnerables a la explotación inadvertida para propagar malware", concluyeron los autores del informe. Según los expertos, las aplicaciones infectadas ya han sido aisladas.
Los analistas de Sophosdijeron que los atacantes habían aprendido a robar contraseñas usando cookies. Según los expertos, este método le permite eludir la autenticación multifactor(MFA).
![cómo se infecta una computadora de SharkBot]( "SharkBot es un malware bancario")
¿Cómo se infecta Malware ShartBot?
 |
La amenaza se propaga a través de una aplicaciónes compiladas, que pretenden ofrecer funciones útiles. La aplicaciónLas comunicaciones pueden hacerse pasar por reproductores multimedia, herramientas de recuperación de datos o aplicaciones que ofrecen servicios de transmisión y televisión en vivo.
Cabe señalar que hasta ahora ninguna de las aplicaciones SharkBotLas comunicaciones han logrado violar la seguridad de Google Play Store. En cambio, lo más probable es que los atacantes dependan de aplicaciones de terceros.plataformas de comunicación, técnicas de carga lateral o engañar a los usuarios mediante diversas tácticas de ingeniería social.
Se encontraron aplicaciones falsas de antivirus y limpieza de Android para instalar el troyano bancario SharkBot (El troyano bancario para Android conocido como SharkBot ha reaparecido en Google Play, disfrazado de antivirus y aplicaciones de limpieza.)
Este malware no requiere permiso para "descargar automáticamente" archivos adicionales de terceros. Alienta a los usuarios a instalar una actualización de software falsa por su cuenta con el "buen" propósito de "permanecer protegidos contra amenazas", informó Hacker News el 5 de septiembre de 2022.
El equipo de investigación de Fox-IT de NCC Group pudo identificar aplicaciones que no brindan la protección prometida. Mister Phone Cleaner y Kylhavy Mobile Security , que ya se han instalado más de 60.000 veces.
El software malicioso está diseñado para restablecer la nueva versión de SharkBot. Se han introducido en el programa un mecanismo de comunicación de gestión y control actualizado, un algoritmo de generación de dominios y un procesador de base de código. Fox-IT declaró que el 22 de agosto de 2022 descubrió la última versión del software, que introdujo la función de bombear cookies durante los períodos en que el usuario inicia sesión en la aplicación bancaria y examina sus cuentas.
Si bien evita los permisos de accesibilidad para instalar SharkBot, el desarrollo enfatiza que los operadores están modificando activamente sus métodos para evitar la detección, sin mencionar la búsqueda de métodos alternativos frente a las restricciones introducidas recientemente por Google para limitar el abuso de la API. Otras oportunidades conocidas de robo de información incluyen la introducción de botones falsos para recopilar credenciales, la intercepción de mensajes SMS y otros métodos de transferencias de fondos fraudulentas.
Según los expertos, en versiones anteriores, el Malware instala SharkBot haciendo clic en los botones de la interfaz de usuario. Sin embargo, la nueva versión del Malware para SharkBot realiza una solicitud al servidor C&C de los atacantes para recibir el archivo APK del malware.
Una vez que el archivo APK se ha descargado en el dispositivo de la víctima, el Malware ShartBot notifica al usuario que hay una actualización disponible y le pide que instale el archivo descargado y luego le otorgue todos los permisos necesarios.
Para que sea más difícil de detectar, SharkBot almacena su configuración cifrada mediante el algoritmo RC4.
![¿que es malware sharkbot?]( "¿cómo se infecta malware shartbot?")
¿Cómo evitar la instalación de malware?
Se recomienda descargar solo de fuentes oficiales y verificadas. Además, todos los programas deben activarse y actualizarse con herramientas legítimas obtenidas de los canales oficiales. No se deben abrir emails sospechosos e irrelevantes, especialmente los archivos adjuntos/enlaces presentes en ellos, ya que estos últimos pueden infectar los sistemas.
¿Es crucial tener un antivirus confiable instalado y actualizado. Este software debe usarse para ejecutar análisis regulares del sistema y eliminar amenazas y problemas.
Sintomas Infeccion SharkBot.- El dispositivo funciona lentamente, la configuración del sistema se modifica sin el permiso del usuario, aparecen aplicaciones cuestionables, el uso de datos y batería aumenta significativamente, los navegadores redirigen a páginas web cuestionables, se muestran anuncios intrusivos.
Durante la investigación, los especialistas en TI de Fox IT seguramente que la campaña maliciosa que utiliza SharkBot está dirigida a España, Austria, Alemania, Polonia y Austria, además de Estados Unidos. Los expertos esperan aún más campañas que utilicen SharkBot, ya que la nueva versión del malware se está propagando activamente entre losatacantes.
![cómo se infecta una computadora de SharkBot]( "SharkBot es un malware bancario")
¿Cómo eliminar Malware SharkBot?
Las amenazas que plantea un programa malicioso dependen de sus funcionalidades y del modus operandi de los ciberdelincuentes. Dado que SharkBot está clasificado como malware bancario, pone en grave peligro la privacidad, la integridad financiera e incluso la identidad de los usuarios.Estas contaban ya con miles de aplicaciones, así que podrían ser otros tantos los dispositivos infectados con ellos. Lo que suele ocurrir es que este malware ha pasado sin problemas los controles de Google al enviarse a los de Mountain View una versión sin software malicioso alguno. Pero como suele ocurrir cada vez más, una actualización posterior es la que introduce este software malicioso en la app, y por tanto integra a SharkBot.
¿Sospecha que su computadora puede estar infectada con SharkBot Android Trojan y otras amenazas? Escanee su computadora en busca de amenazas con SpyHunter
SpyHunter es una poderosa herramienta de protección y reparación de malware diseñada para ayudar a proporcionar a los usuarios análisis de seguridad del sistema en profundidad, detección y eliminación de una amplia gama de amenazas como SharkBot Android Trojan, así como un servicio de soporte técnico personalizado.
 |
SpyHunter ha sido desarrollado y diseñado con programación de precisión para brindar protección y seguridad en línea sofisticadas, a la vez que ofrece una interfaz fácil de usar para brindar una mayor simplicidad a su vida digital.
Download SpyHunter pagina oficial El Malware SharkBot implementa ataques superpuestos para robar credenciales e información de tarjetas de crédito. En el momento de escribir este artículo, SharkBot parece haber tenido una tasa de detección muy baja por parte de las soluciones antivirus, ya que el malware implementa varias técnicas antianálisis, incluida la rutina de ofuscación de cadenas,la detección de emuladores y el algoritmo de generación de dominios (DGA).
![cómo se infecta una computadora de SharkBot]( "SharkBot es un malware bancario")
¿Que hace Malware SharkBot?
 |
SharkBot pertenece a la "nueva" generación de malware móvil, ya que puede realizar ataques ATS dentro del dispositivo.
ATS (Automatic Transfer System) es una técnica de ataque avanzado (bastante nueva en Android) que permite a los atacantes autocompletar campos en aplicaciones bancarias móviles legítimas e iniciar transferencias de dinero desde dispositivos con jailbreak.ATS (Automatic Transfer System) es una técnica de ataque avanzada (bastante nueva en Android) que permite a los atacantes completar campos automáticamente en aplicaciones bancarias móviles legítimas e iniciar transferencias de dinero desde los dispositivos comprometidos.
La aplicación maliciosa se instala en los dispositivos de los usuarios utilizando tanto la técnica de carga lateral como los esquemas de ingeniería social, según el informe.
"Estos mecanismos se utilizan para hacer cumplir la verificación y autenticación de la identidad de los usuarios, y generalmente se combinan con técnicas de detección de comportamiento para identificar transferencias de dinero sospechosas".
El malware móvil 'SharkBot' parece tener una tasa de detección muy baja por parte de las soluciones antivirus, ya que se han implementado varias técnicas antianálisis.
Este malware está pensado para acceder a los inicios de sesión de bancos en los móviles de Android y se ha introducido en actualizaciones de algunas aplicaciones que los usuarios ya tenían instaladas.
Consejo .- Una vez que el malware SharkBot se instala con éxito en el dispositivo de la víctima, los atacantes pueden obtener información bancaria confidencial mediante el abuso de los Servicios de Accesibilidad, como credenciales, información personal, saldo actual, etc., pero también para realizar gestos en el dispositivo infectado.
Los investigadores avisan de un nuevo troyano bancario 'SharkBot con el número de versión 2.25 el 22 de agosto de 2022 . El troyano bancario Sharkbot está diseñado para robar información bancaria. Además, el troyano bancario Sharkbot puede inyectar superposiciones falsas para robar cookies y credenciales de cuentas bancarias para evadir los permisos de accesibilidad. Además, el troyano bancario Sharkbot puede robar sus registros de pulsaciones de teclas e interceptar SMS.Además, lo más peligroso es que Sharkbot Banking Trojan puede usar su sistema de transferencia automatizado para retirar dinero de su cuenta bancaria.
![¿que es malware sharkbot?]( "¿cómo se infecta malware shartbot?")
¿Estrategias Malware Sharkbot?
 |
Sharkbot implementa un conjunto de herramientas altamente efectivo para el robo de datos bancarios. Secuestra el Servicio de Accesibilidad, que le da acceso a la aplicación a todos los datos que ve el usuario. El malware también permite que la aplicación interactúe con una interfaz como si fuera una persona.
Sharkbot ejecuta 22 comandos maliciosos:1.- Solicitar permiso para enviar mensajes SMS.
2.- Recopila la lista de contactos del dispositivo y envíela al servidor.
3.- Deshabilite la optimización de la batería para que el malware pueda ejecutarse en segundo plano.
4.- Enviar mensaje de insercion
5.- Simule el deslizamiento de un usuario en la pantalla.
![¿que es malware sharkbot?]( "¿cómo se infecta malware shartbot?")
¿Tecnicas inusuales de Sharkbot?
Las aplicaciones surgieron Sharkbot Stealer, una variedad de malware de Android desarrollado para robar información bancaria y credenciales.Check Point, Sharkbot tiene dos características que lo hacen destacar entre el malware de Android. El primero de ellos es el uso de algoritmos de generación de dominios por parte de malware. Esto se refiere a la capacidad del malware para generar a veces muchos nombres de dominio diferentes, que utiliza para enrutar las comunicaciones a sus servidores de comando y control.
Otra característica que no se ve comúnmente en el malware de Android es el uso de geofencing Sharkbot. Cuando se usa en relación con el malware, el término geofencing se usa para describir la capacidad del software malicioso para atacar solo ciertas áreas y datos demográficos, para evitar otras, como "cercarlas" virtualmente. Esto se ve frecuentemente con malware que no intenta atacar a las víctimas en su región nativa o áreas con altas medidas de seguridad. La mayoría de los dispositivos e IP identificados por los investigadores como estaban ubicados en Europa Occidental, principalmente dentro del Reino Unido e Italia, con solo el 2% de las infecciones restantes en otras regiones.
El malware SharkBot no presenta ninguna superposición con las familias de troyanos bancarios móviles existentes y se cree que es una amenaza personalizada que aún se encuentra en desarrollo activo. Es capaz de realizar las acciones intrusivas habituales asociadas a este tipo de malware. Al explotar los servicios legítimos de accesibilidad de Android, puede realizar ataques de superposición al mostrar pantallas de inicio de sesión falsas para las aplicaciones específicas y luego desviar la información ingresada. Además, SharkBot puede interceptar los mensajes SMS en el dispositivo violado, establecer rutinas de registro de teclas, etc.
Check Point finaliza su informe sobre el malware de Android con el consejo que repetimos cada vez: solo instale aplicaciones de "editores confiables y verificados". Sin embargo, esta es la segunda vez que el malware oculto de Android en la tienda oficial de Google Play aparece en los titulares en cuestión de semanas, por lo que, si bien este consejo es sólido, no será suficiente para todos los usuarios las amenazas.
SharkBot también se destaca por los pasos que toma para evadir el análisis y la detección, incluida la ejecución de comprobaciones del emulador, el cifrado de las comunicaciones de comando y control con un servidor remoto y la ocultación del icono de la aplicación en la pantalla de inicio después de la instalación.
El malware SharkBot también realiza ataques de superposición en los que una aplicación maliciosa idéntica se superpone a la aplicación legítima y captura los datos rellenados por el usuario. Se sabe que SharkBot ha atacado varias aplicaciones bancarias e incluso algunas aplicaciones de intercambio de criptomonedas; cinco aplicaciones de intercambio para ser exactos.
SharkBot usa esta misma técnica en un intento de eludir el análisis de comportamiento, los controles biométricos y la autenticación de múltiples factores. Sin embargo, para realizar todas estas acciones, el malware primero debe secuestrar los Servicios de accesibilidad de Android.
SharkBot se esconde detrás de los nombres e íconos de aplicaciones legítimas. Una vez que se inicia en el telefono, inmediatamente solicita permisos de acceso a traves de ventanas emergentes falsas. Estos mensajes aterrorizarán a la víctima hasta que se conceda el permiso.
![¿que es malware sharkbot?]( "¿cómo se infecta malware shartbot?")
¿Malware SharkBot Analisis?
El Malware Sharkbot Integra un algoritmo de generación de dominios (DGA) para conectar a los servidores de control. El uso de DGA permite que una muestra con una semilla fija en el código genere 7 dominios por semana. Combinando las semillas y algoritmos observados, se generan 56 dominios por semana.Sharkbot roba credenciales e información bancaria. El malware implementa una función de geoperimetraje y técnicas de evasión que lo hacen destacar en el campo. También hace uso del algoritmo de generación de dominios (DGA) , un aspecto poco utilizado en el mundo del malware para Android. Sharkbot atrae a las víctimas para que ingresen sus credenciales en ventanas que imitan formularios de ingreso de credenciales benignos. Cuando el usuario ingresa sus credenciales en estas ventanas, los datos comprometidos se envían a un servidor malicioso.
Las técnicas de evasión también forman parte del arsenal de Sharkbot. Si el malware detecta que se está ejecutando en un entorno limitado, detiene la ejecución y se cierra.
![¿que es malware sharkbot?]( "¿cómo se infecta malware shartbot?")
¿SharkBot puede transferir fondos?
 |
Los tecnicos de Fox-IT dijo: "Esta nueva versión le pide a la víctima que instale el malware como una actualización falsa para fortalecer a salvo de las amenazas antivirus.
Hemos encontrado son dos en Google Play Store. Las aplicaciones SharkbotDopper enactiv, ccontradoopper uno con instalaciones de 10 K y 50 K. El malware SharkBot supuestamente puede robar pulsaciones de teclas de registro, interceptar mensajes SMS y transferir fondos de manera fraudulenta usando el Sistema de Transferencia Automatizado (ATS) El Equipo de Inteligencia de detect Amena de Amenauna nueva muestra de Sharkbot con la versión 2.25 el 22 de agosto de 2022.
La nueva versión de Sharkbot también tiene una nueva función que roba las cookies de sesión de las víctimas que inician sesión en sus cuentas bancarias.Aunque Google ha prohibido estas aplicaciones, cualquier persona que ya las haya descargado debe eliminarlas de inmediato.Además, verifique su cuenta bancaria en busca de transacciones desconocidas.
El objetivo principal de SharkBot es iniciar transferencias de dinero en los dispositivos infectados. Al emplear una técnica de sistemas de transferencia automática (ATS), puede contrarrestar varios mecanismos de autenticación de múltiples factoresexitosamente. El ataque ATS permite a los ciberdelincuentes realizar transferencias de dinero completando automáticamente los campos obligatorios de la aplicación de banca móvil legítima.comunicaciones y luego transferir los fondos de la víctima a una red de mulas de dinero.
El objetivo principal del malware SharkBot es realizar transacciones monetarias a través de la función Automatic Transfer Systems (ATS). Permite a los ciberdelincuentes autocompletar campos de formulario en aplicaciones bancarias y transferir dinero sin necesidad de iniciar sesión y sin pasar por 2FA. Esa característica también se puede usar para instalar otras aplicaciones maliciosas.
Además, SharkBot tiene funciones de registro de teclas (grabación de pulsaciones de teclas). También puede mostrar ventanas superpuestas falsas, que se disfrazan como páginas de inicio de sesión/autenticación. Otra funcionalidad de este programa es ocultar e interceptar los mensajes de texto entrantes (SMS), que los bancos suelen utilizar con fines de verificación.
En conjunto, estas características se utilizan para eludir los procesos 2FA/MFA (autenticación de dos factores/autenticación de múltiples factores) utilizados por los bancos y las carteras de criptomonedas. Esto significa que SharkBot no solo puede redirigir las transacciones iniciadas por el usuario, sino también iniciarlas por sí mismo (sin el conocimiento del usuario). Se ha observado que este malware se dirige a aplicaciones bancarias y criptocarteras, pero hay razones para creer que su alcance de ataque puede aumentar en el futuro.
El objetivo principal del malware Sharkbot era "iniciar la transferencia de dinero desde dispositivos comprometidos a través de técnicas del Sistema de transferencia automática (ATS), sin pasar porel mecanismo de autenticación de múltiples factores".
![cómo se infecta una computadora de SharkBot]( "SharkBot es un malware bancario")
¿Informe Fox-IT de NCC Group?
 |
Si usa un antivirus gratuito para proteger su teléfono o usa aplicaciones más limpias para limpiar la memoria del teléfono, tenga cuidado.
De lo contrario, estas aplicaciones pueden destruir su cuenta bancaria. El informe Fox-IT de NCC Group afirma que hay dos aplicaciones en Google Play Store en las que se oculta el troyano bancario malicioso. (ver informe anterior).
Según los informes, se ha encontrado el troyano bancario Sharkbot en ambas aplicaciones. Ambas aplicaciones se han encontrado infectadas con el troyano bancario Sharkbot.
1.- La primera aplicación es Mr. Phone Cleaner (más de 50 000 descargas).
2.- La segunda es Kilhavi Mobile Security (más de 10 000 descargas).
Según informes de los medios, estas aplicaciones se han instalado especialmente en India, España, Australia, Polonia, Alemania, Diseñado para usuarios de Android en EE. UU. y Austria. Descargue e instale estas aplicaciones en su teléfono con riesgo de seguridad bancaria.
El informe de Fox-IT afirma que estas nuevas aplicaciones no dependen de los permisos de accesibilidad para instalar el malware Sharkbot en su teléfono. Además, estas nuevas versiones solicitan a los usuarios afectados que instalen actualizaciones falsas de antivirus para protegerlos de amenazas de malware.
Permítanme recordarles que en la primavera de este año, los expertos de NCC Group ya alertaron sobre SharkBot. Dicen que el malware generalmente se disfraza de antivirus, y en realidad roba dinero a los usuarios que instalan la aplicación. SharkBot, al igual que sus contrapartes TeaBot, FluBot y Oscorp (UBEL), pertenece a la categoría de troyanos bancarios capaces de robar credenciales de dispositivos pirateados y eludir los mecanismos de autenticación de múltiples factores. Por primera vez, los expertos descubrieron el malware en el otoño de 2021.
El informe de NCC Group enfatizó que el sello distintivo de SharkBot es su capacidad para realizar transacciones no autorizadas a través de los sistemas del Sistema de transferencia automática (ATS), que, por ejemplo, lo distingue de TeaBot, que requiere que los dispositivos resistentes realizar acciones maliciosas interactuando con un operador en vivo.
Como ahora escriben los expertos de Fox IT, las aplicaciones detectadas esta vez no contienen código malicioso de inmediato, y es gracias a esto que lograron engañar a los controles de Google nuevamente. SharkBot se infiltra en los dispositivos de las víctimas con una de las actualizaciones que se producen después de que el usuario instala e inicia la aplicación dropper.
En mayo de 2022, los investigadores de ThreatFabric escribieron sobre la llegada de SharkBot 2, que reveló un DGA, un protocolo de comunicación actualizado y un código completamente rediseñado. Como apuntan los expertos informáticos de Fox, necesitarán también y estudiaron una nueva versión del malware (2.25), en la que ha aparecido la posibilidad de robar cookies, y no se abusa de los Servicios de Accesibilidad, como antes.
Ahora, después de la instalación, la aplicación dropper contacta con el servidor de control, solicitando el archivo APK malicioso de SharkBot. Luego, el dropper notifica al usuario que hay una actualización disponible y le pide a la víctima que instale el APK y le otorgue todos los permisos necesarios. Para dificultar la detección automática, SharkBot almacena la configuración codificada de forma cifrada mediante RC4.
![¿que es malware sharkbot?]( "¿cómo se infecta malware shartbot?")
LLegada del SharkBot 2.25
 |
SharkBot 2.25 todavía usa superposiciones, intercepta SMS, puede controlar el dispositivo de forma remota y contiene un registrador de teclas, pero ahora se ha agregado la función de robo de cookies a todo esto. Entonces, cuando la víctima inicia sesión en su cuenta bancaria, SharkBot intercepta la cookie de sesión con un nuevo comando (logsCookie) y envía el archivo a sus operadores.
Los investigadores escriben que las nuevas campañas de SharkBot se dirigen a países de Europa (España, Austria, Alemania, Polonia, Austria) y EE. uu. Se observa que el malware utiliza cada vez más un keylogger en los ataques y roba información confidencial directamente desde las ventanas de las aplicaciones reales.
El troyano bancario Sharkbot está diseñado para robar información bancaria. Además, el troyano bancario Sharkbot puede inyectar superposiciones falsas para robar cookies y credenciales de cuentas bancarias para evadir los permisos de accesibilidad. Además, puede robar sus registros de pulsaciones de teclas e interceptar SMS.Además, lo más peligroso es que Sharkbot Banking Trojan puede usar su sistema de transferencia automatizado para retirar dinero de su cuenta bancaria.
SharkBot 2.25 todavía usa superposiciones, intercepta SMS, puede controlar el dispositivo de forma remota y contiene un registrador de teclas, pero ahora se ha agregado la función de robo de cookies a todo esto. Entonces, cuando la víctima inicia sesión en su cuenta bancaria, SharkBot intercepta la cookie de sesión con un nuevo comando (logsCookie) y envía el archivo a sus operadores.
Los investigadores escriben que las nuevas campañas de SharkBot se dirigen a países de Europa (España, Austria, Alemania, Polonia, Austria) y EE. uu. Se observa que el malware utiliza cada vez más un keylogger en los ataques y roba información confidencial directamente desde las ventanas de las aplicaciones reales.
![¿que es malware sharkbot?]( "¿cómo se infecta malware shartbot?")
Funciones del malware SharkBot
Otra característica única en el arsenal de Sharkbot es el uso del algoritmo de generación de dominios (DGA). DGA rara vez se ve en el malware de Android. Los algoritmos de generación de dominios son algoritmos de malware que generan una gran cantidad de nombres de dominio. El atacante puede usar los nombres de dominio como puntos de contacto con los servidores de comando y control de malware. Una gran cantidad de botnets dificultan el cierre efectivo. Los dispositivos establecidos intentaron contactar periódicamente con algunos de estos nombres de dominio para obtener actualizaciones o comandos.
Según el informe de Fox-IT, una muestra que contenía una semilla codificada con DGA seguirá siete dominios por semana y los investigadores observaron un total de 56 dominios por semana.
Durante la investigación, se identificaron 27 versiones de Sharkbot. Las principales diferencias entre las versiones fueron las diferentes semillas DGA y las diferencias en los campos BotnetID y OwnerID.El reciente derribo de Sharkbot es otro eslabón en la lucha en curso contra las aplicaciones infectadas.
![cómo se infecta una computadora de SharkBot]( "SharkBot es un malware bancario")
¿SharkBot Malware contra la banca?
 |
El troyano bancario sharkbot (banker) ataca las aplicaciones bancarias. Precisaron que "una vez que SharkBot se instala con éxito en el dispositivo de la víctima, los atacantes pueden obtener información bancaria confidencial mediante el abuso de los Servicios de Accesibilidad, como credenciales, información personal, saldo actual pero también para realizar gestos en el dispositivo afectado".
Tras el descubrimiento de SharkBot, Cleafy TIR alerta que los ciberdelincuentes están encontrando muy rápidamente nuevas formas de atacar, tratando de eludir las contramedidas de detección de los bancos y servicios financieros. "Los ataques cada vez son más sofisticados"
Una vez instalado, el malware ofusca el cuadro de diálogo 'iniciar sesión con su huella digital' para que los usuarios se vean obligados a ingresar una contraseña y un nombre de usuario, según Segura. El malware Sharkbot es capaz de eludir la autenticación de dos factores.
Según las estadísticas de la tienda pública Google Play, la aplicación Mr Phone Cleaner tiene más de 50.000 descargas. Está representado por un logo azul que muestra una escoba en blanco y azul. Si bien la aplicación está disponible en Play Store en India, la aplicación Kilhavi Mobile Security no está visible en India pero, según se informa, tiene más de 10 000 descargas.
“Este nuevo Malware de Sharkbot le pide a la víctima que instale un malware que se hace pasar por una actualización de antivirus para protegerse contra las amenazas”, dijo Segura en una publicación de blog.
El objetivo principal del malware Sharkbot era "iniciar transferencias de dinero desde un dispositivo comprometido a través de la tecnología Automatic Transfer Systems (ATS), sin pasar por el mecanismo de autenticación de factores múltiples", explicó una Clipre emsa de fraude de gestos, en línea, que fue la primera del malware La barra fue reconocida.
Dado que las aplicaciones móviles son una forma sencilla de controlar los teléfonos inteligentes, muchos estafadores utilizan estas aplicaciones para atacar a sus víctimas.
En julio, los gigantes tecnológicos Apple y Google recibieron cartas de los legisladores estadounidenses solicitando detalles sobre las aplicaciones relacionadas con las criptomondas que están disponibles en App Store y Play Store, respectivamente. En estas cartas, el Senador Sherrod Brown, presidente del Comité Bancario del Senado, también solicitó a las empresas que proporcionen información sobre formas de combatir las aplicaciones peligrosas que podrían impulsar las estafas.
Los ciberdelincuentes han robado logotipos, nombres y otra información de identificación de empresas de criptoempresas y luego han credo aplicaciones móviles falsas. Es imperativo que las tiendas de aplicaciones cuenten con las medidas de seguridad adecuadas para evitar la actividad fraudulenta de las aplicaciones móviles”, escribió Brown en sus cartas al gigante tecnológico.
El año 2021, Google Play Estas aplicaciones bancarias. fueron:
Bitfunds - Crypto Cloud Mining, Bitcoin Miner - Cloud Mining, Bitcoin (BTC) - Pool Mining Cloud Wallet, Crypto Holik - Bitcoin Cloud Mining, Daily Bitcoin Rewards - Sistema de minería basado en la nube, Bitcoin 2021, Minebit Pro - Crypto Cloud Mining & BTC Miner, & Ethereum (ETH) – Pool Mining Cloud.
![cómo se infecta una computadora de SharkBot]( "SharkBot es un malware bancario")
¿Google prohibió aplicaciones Antivirus?
Los investigadores han descubierto que el malware Sharkbot para Android se esconde bajo la apariencia de soluciones antivirus en la Play Store de Google. Google eliminó recientemente al menos seis aplicaciones antivirus falsas de la Tienda. Según un informe reciente, los atacantes utilizaron estas aplicaciones maliciosas para propagar el malware Sharkbot. Cuando la tienda eliminó las aplicaciones infectadas, la gente las había descargado unas 15.000 veces.  |
Estas seis aplicaciones provienen de tres cuentas de desarrollador Zbynek Adamcik, Adelmio Pagnottoy Bingo Like Inc. Cuando revisamos el historial de estas cuentas, vimos que dos de ellas estaban activas en el otoño de 2021. Algunas de las aplicaciones vinculadas a estas cuentas se eliminaron de Google Play, pero aún existen en mercados no oficiales. Esto podría significar que el actor detrás de las aplicaciones está tratando de pasar desapercibido mientras aún está involucrado en actividades maliciosas.
Según los informes, el gigante tecnológico Google eliminó 6 aplicaciones infectadas con el malware Sharkbot Bank Stealer de Google Play Store. Cuando estas aplicaciones se eliminaron de Google Play Store, estas aplicaciones se han descargado más de 15 mil veces. Todas estas 6 aplicaciones se desarrollaron como soluciones antivirus para teléfonos inteligentes Android. Estas aplicaciones se diseñan para seleccionar objetivos utilizando servicios de geoperimetraje mientras roban las credenciales de inicio de sesión de las personas en múltiples sitios web y servicios. Según los informes, estas aplicaciones se utilizaron para dirigirse a usuarios en Italia y el Reino Unido.
Fuente: Check Point Research
Las aplicaciones prohibidas Google:1.- Atom Clean-Booster, Antivirus.
2.- Antivirus, Súper Limpiador.
3.- Limpiador antivirus alfa.
4.- Potente limpiador antivirus.
5.- Centro de Seguridad – Antivirus (2ª edición).
Estas seis aplicaciones provienen de tres cuentas de desarrolladores, Zbneck Adamsik, Adelmio Paganotto y Bingo Like Inc.
![¿que es malware sharkbot?]( "¿cómo se infecta malware shartbot?")
A.- Pretenden ser una solución antivirus
Según una publicación de blog de Check Point Research, estas 6 aplicaciones de Android que parecían ser aplicacionesantivirus originales en Google Play Store fueron vistas como goteros para el malware Sharkbot. Sharkbot es un ladrón de Android que se utiliza para infectar dispositivos y robar credenciales de inicio de sesión y detalles de pago de los usuarios. Una vez que se instala la aplicación Dropper, se puede usar para descargar cargas tiles maliciosas e infectar los dispositivos de los usuarios. ![¿que es malware sharkbot?]( "¿cómo se infecta malware shartbot?")
B.- Malware diseñado para usuarios por países
El malware Sharkbot utilizado por estas 6 aplicaciones antivirus fraudulentas también presentó una función de geoperimetraje, que se utiliza para apuntar a usuarios de paises específicos. Según el equipo de Check Point Research, el malware Sharkbot está diseñado para identificar a usuarios de China, India, Rumania, Rusia, Ucrania o Bielorrusia.
Según se informa, el malware puede verificar cuándo se está produciendo en un espacio aislado y evitar la ejecución y el análisis. Check Point Research analizó 6 aplicaciones durante este período de 3 cuentas de desarrollador Zbynek Adamcik, Adelmio Pagnotto y Bingo Like Inc.
El equipo también habla sobre los datos de AppBrain, que muestran que 6 aplicaciones se descargaron un total de 15 000 veces antes de que se eliminaran.Incluso después de eliminarlas de Google Play Store, algunas aplicaciones de estos desarrolladores todavía están presentes en el mercado de terceros.
![¿que es malware sharkbot?]( "¿cómo se infecta malware shartbot?")
Acciónes urgentes de Google
Según Check Point Research, el 25 de febrero se detectaron 4 aplicaciones maliciosas y Google fue informado al respecto el 3 de marzo. Las aplicaciones se eliminaron de Play Store el 9 de marzo. A esto le siguieron 2 aplicaciones Malware Sharkbot más el 15 y el 22 de marzo, las cuales, según se informa, se eliminaron el 27 de marzo. Según el equipo de Check Point Research, los usuarios deben descargar e instalar aplicaciones solo desde Google Play Store, Apple App Store o cualquier otro espacio confiable y verificado. De esta forma se mantiene la seguridad.
![cómo es malware sharkbot virus]( "¿cómo se infecta malware shartbot?")
¿Timos y Fraudes Internet?
Index Timos, Timos Telefonicos, Timos Telefonos Fijos, Timos Moviles, Estafas Nigerianas, Estafas Internet , Erotismo Internet , Comercio Electronico , GUARDIA CIVIL, Ataques Internet, Timos Navidades. , Que Hacer Acoso Menores , Robos Casas , Robo Identidad, Cyberbullyingt, Claves Seguras. , Cifrado Datos Ayudas Fraudes Peligros WIFI , San Valentin Solicitud Empleo, Mitos SEO, Proteger Ordenador, Estafas Verano Timos Facebook Timos Twitter , Estafas SEO, Proteger PC , Ultimas Estafas , Proteger Ordenador, Smartphone, Adiccion Facebook, Adiciones Internet, Estafas SMS, Firma Electronica, Stalkerware moviles, Fraudes S.Tecnicos, Rechazar LLamadas, Fraudes Phishig, Ransomware, -- Solution Android-- Malware SharkBot
Malware SharkBot en Android .- ![cómo se infecta malware shartbot jugando]( "¿que es malware sharkbot?")
House Alarms
![how to fix missing errors in windows 10]( "how to fix registry errors after windows update")
Improve Windows work
![sharkbot malware contra la banca]( "¿que es malware sharkbot?")
How they rob the house![cómo se infecta malware shartbot mobile]( "que es malware sharkbot latinoamerica")
Privacy Policy....Informacion Cookies
|
 |
|
|