ISGroup Consultoría de Ciberseguridad

SharkBot Trojan Bancario Android: Una Nueva Era de Ataques ATS en Móviles

SharkBot, descubierto en octubre de 2021 por el equipo de Threat Intelligence de Cleafy, es un troyano bancario avanzado para Android que tiene como objetivo bancos y servicios de criptomonedas en el Reino Unido, Italia y Estados Unidos. Este malware representa una nueva generación de amenazas móviles con capacidades innovadoras, aprovechando especialmente los ataques de Sistema de Transferencia Automática (ATS). Estos ataques eluden los mecanismos de autenticación tradicionales, permitiendo a los atacantes amplificar las actividades fraudulentas sin interacción directa del usuario.

Fecha2024-12-06 15:28:40
Información
  • Tendencia

Resumen técnico

SharkBot utiliza los Servicios de Accesibilidad de Android para ejecutar sus actividades maliciosas, entre las que se incluyen:

  • Ataques ATS: Relleno automático de campos en aplicaciones bancarias legítimas para realizar transferencias de dinero no autorizadas.
  • Ataques de superposición (Overlay): Imitación de las pantallas de inicio de sesión de las aplicaciones para robar credenciales y datos de tarjetas de crédito.
  • Keylogging: Monitoreo y registro de las entradas sensibles de los usuarios.
  • Intercepción de SMS: Captura de códigos de autenticación de dos factores basados en SMS.
  • Control remoto completo: Simulación de gestos y clics para manipular el dispositivo.

Funcionalidades y técnicas clave:

  1. Evasión de análisis:

    • Ofuscación de cadenas para ocultar comandos y detalles de C2.
    • Detección de emuladores para eludir entornos sandbox.
    • Comunicaciones cifradas mediante codificación Base64 y un algoritmo de generación de dominios (DGA).

  2. Abuso avanzado de permisos:

    • Aprovecha REQUEST_IGNORE_BATTERY_OPTIMIZATIONS para mantener la conexión con los servidores C2.
    • Utiliza los Servicios de Accesibilidad para manipular la configuración y evitar la desinstalación.

  3. Diseño modular:

    • Descarga desde el C2 un archivo externo .jar que contiene las funcionalidades ATS.

Indicadores de Compromiso (IOC):

  • Nombres de la App: Media Player HD.
  • Nombre del paquete: com.pycdvgljmfgh3hgp8jo72giu.omflsx1q2g.
  • Dominios C2: sharkedtest1[.]xyz, sharkedtestuk[.]xyz.
  • Hash MD5: f7dfd4eb1b1c6ba338d56761b3975618.

Recomendaciones

Para organizaciones (Bancos, Plataformas Crypto):

  1. Análisis conductual: Implementar mecanismos avanzados de detección para identificar anomalías en las acciones de los usuarios (ej. ataques ATS).
  2. Políticas Zero Trust: Tratar todas las transacciones, incluso desde dispositivos confiables, con atención adicional.
  3. Monitoreo y alertas: Monitorear activamente las superposiciones (overlays) y eventos de accesibilidad inesperados en sus propias aplicaciones.
  4. Campañas de concienciación: Educar a los usuarios sobre las amenazas emergentes como SharkBot y los riesgos derivados de otorgar permisos excesivos.

[Callforaction-THREAT-Footer]

In