Handy - Navigation SharkBot: Malware stiehlt nun auch Cookies für Online-Banking

Die neuste Version der SharkBot-Malware nutzt Dropper-Apps und zielt jetzt auch auf Bankkontoanmeldungen von Android-Benutzern ab.

Eine neue Version der SharkBot-Malware ist im Google Play Store aufgetaucht. Die erstmals im Oktober 2021 vom

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

entdeckte Schadsoftware zielt nun auch auf Bankanmeldungen von Android-Benutzern ab.

Dropper-Apps öffnen SharkBot die Tür​

Um sich in das System zu schleusen, nutzt der SharkBot so genannte Dropper-Apps, die im Play Store Zehntausende von Installationen aufweisen. Oftmals kommen dabei gefälschte Antiviren- und Android-Reinigungsprogramme zum Einsatz. Die Dropper-Apps selber enthalten jedoch keinen Schadcode, weshalb die automatische Überprüfung durch Google sie nicht als Malware erkennt.

Doch nachdem der Nutzer die Apps installiert und gestartet hat, laden sie den bösartigen Code in Form eines vermeintlichen Updates nach. Anschließend fordern die sie den Anwender auf, die bösartige SharkBot-APK-Datei zu installieren und alle erforderlichen Berechtigungen zu erteilen.

Fox IT, das zur NCC Group gehört, hat in einem

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

nähere Informationen zu dem Vorfall geteilt. Bei den beiden von den Forschern identifizierten Dopper-Apps handelt es sich um “Mister Phone Cleaner” und “Kylhavy Mobile Security“. Dem Bericht zufolge weisen diese zusammen rund 60.000 Installationen auf. Google hat die beiden Anwendungen mittlerweile aus dem Store entfernt. Dennoch sind Anwender, die sie bereits installiert haben, weiterhin gefährdet.

Malware Entwickler werden nicht müde​

Der SharkBot war schon in seiner ersten Version in der Lage, Overlay-Angriffe durchzuführen, Daten durch Keylogging zu stehlen, SMS abzufangen oder einem Angreifer die Fernsteuerung des Geräts zu ermöglichen. Dafür missbrauchte die Malware mitunter die Barrierefreiheitsdienste des Systems. Die im Mai 2022 von ThreatFabric-Forschern entdeckte zweite Version bot weiterhin unter anderem ein aktualisiertes Kommunikationsprotokoll und einen vollständig überarbeiteten Quellcode.

ThreatFabric

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

hits the shores with a new Variant! Welcome SharkBot 2, with its latest version 2.8, with fully refactored code. It features: - No more Notification AutoReply, -

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

supporting more domain extensions - Updated communication protocol still based on RC4+RSA encryption

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

In der neuesten Variante ab Versionsnummer 2.25 ist die Malware nun auch in der Lage, Cookies von Bankkontoanmeldungen zu stehlen. Sobald sich das Opfer bei seinem Bankkonto anmeldet, schnappt sich SharkBot mit einem neuen Befehl das gültige Sitzungs-Cookie und sendet es an einen Command-and-Control-Server. Dies ermöglicht es den Angreifern mitunter, die Konten ihrer Opfer zu übernehmen.

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Auszug aus dem Quellcode des SharkBot, der die Cookies einsammelt / Quelle:

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Die Forscher von Fox IT gehen davon aus, dass auch in Zukunft weitere Optimierungen an der SharkBot-Malware stattfinden und sich diese kontinuierlich weiterentwickelt. Wir dürfen also gespannt bleiben, wann sie das nächste Mal ihren Weg in den Play Store findet.

Tarnkappe.info