El popular troyano bancario SharkBot ha vuelto a hacer su aparición. En esta ocasión lo hace haciéndose pasar por aplicaciones antivirus y de limpieza de dispositivos móviles disponible en la Play Store de Google.

El popular troyano bancario para Android SharkBot ha vuelto a aparecer una vez más en la tienda de aplicaciones de Google, Play Store. Para eludir los controles de seguridad, se oculta en supuestas aplicaciones antivirus y de limpieza que resultan ser falsas.

Según destacan expertos de Fox-IT, en esta ocasión, la infección por este troyano no depende de los permisos de accesibilidad que se dan al instalar una aplicación. En esta nueva versión, SharkBot se oculta bajo una falsa actualización de seguridad para el antivirus contra las amenazas.

Se trata de las aplicaciones Mister Phone Cleaner y Kylhavy Mobile Security, que tienen más de 60.000 descargas y están diseñadas para usuarios de España, Alemania, Austria, Australia, Estados Unidos y Polonia.

En concreto, Mister Phone Cleaner (com.mbkristine8.cleanmaster) cuenta con más de 50.000 descargas, mientras que Kylhavy Mobile Security (com.kylhavy.antivirus) ya está en más de 10.000 dispositivos.

Expertos de Check Point Research (CPR), también han localizado muestras de este dropper camuflado de antivirus para Android y con capacidad para robar credenciales bancarias.

Además, destacan que este troyano utiliza técnicas de evasión para no ser ejecutado en emuladores e integra un algoritmo de generación de dominios (DGA) para conectar a los servidores de control.

De esta forma, con solo una semilla fija en el código consigue generar 7 dominios cada semana. Combinando las semillas y los algoritmos, se generan 56 dominios por semana.

Cómo actúa SharkBot

Aunque este malware fue descubierto por primera vez en octubre de 2021, en marzo de este año se detectaron pruebas de que estaba oculto en algunas aplicaciones de la tienda de aplicaciones de Google.

En ese momento, los expertos de Fox-IT comprobaron que este troyano conseguía robar datos a través del registro de las teclas. De esta forma, conseguía interceptar mensajes SMS y vía libre a los Servicios de Accesibilidad para tomar el control remoto de los dispositivos.

En esta nueva versión, los investigadores han descubierto que es capaz de robar cookies de inicios de sesión en cuentas bancarias. Otro aspecto importante es que no necesita los Servicios de Accesibilidad para controlar el dispositivo.

SharkBot troyano aplicaciones antivirus Google Play Store noticia bit life media

En este caso, el troyano lleva a la víctima a introducir sus datos de acceso bancarios en una ventana que, pese a parecer legítima, envía los datos con las credenciales al servidor de Comando y Control (C&C).

Al realizar una solicitud al servidor C2, reciben directamente el archivo APK de SharkBot para instalarlo sin necesidad de enlace de descarga. De esta forma, el usuario descarga el servicio y la aplicación solicita todos los permisos necesarios, incluidos los que vulneran su privacidad sin que sea consciente.

De acuerdo con los expertos de CPR, la mayoría de clientes afectados se han detectado en Italia y Reino Unido. No obstante, y aunque estas aplicaciones donde se escondía SharkBot ya han sido eliminadas de la Play Store, aún siguen apareciendo en tiendas de apps no oficiales.

Por este motivo, los expertos aconsejan no descargar aplicaciones que no sean de fuentes oficiales y revisar los permisos que se conceden para su descarga.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre