Sharkbotというマルウェアがあります。
ここでもとりあげたことがありますが、以前から話題になることのあるバンキングトロイマルウェアの一つです。
そんなSharkbotに新しいバージョンが観測されています。
- 今回のキャンペーンでは60,000件
今回は2つのAndroidアプリに紛れて被害者に届けられました。
すでにGoogle Playからは削除されていますので追加で被害者が発生することはないと考えられます。
が、インストールしてしまっている人は自分で削除する必要があります。
「Mister Phone Cleaner」と「Kylhavy Mobile Security」が手元の環境にある場合は手動での削除が必要です。 - 新機能:logsCookie
新しいバージョンには新しい機能が搭載されました。
logsCookieです。
この機能は名前が示す通り、Cookieを盗み出します。
受信したユーザーエージェントをヘッダーとして使用して、このURLをロードするWebViewを開くために使用されます。
言い方を変えますと、この機能は被害者が銀行口座にログインすると、SharkBotはこのコマンドを使用して有効なセッションCookieを取得し、C2に送信します。
ここで抜き取ったCookieには、フィンガープリンティングチェックや、場合によってはユーザー認証トークン自体をバイパスするのに役立つソフトウェアと場所のパラメーターが含まれています。
この情報は、アカウントの乗っ取りに役立ちます。 - 削除された機能:アクセシビリティサービスの悪用
従来はアクセシビリティサービスを悪用してマルウェアを侵害先環境に展開していました。
この機能が削除されています。
代わりにドロッパー機能はマルウェアのAPKを直接受信する機能を実装しました。
受信したAPKは被害者にアンチウイルスソフトの更新であるなどと虚偽の表示を行い、そのインストールを実施させようとします。
自動的に被害にあった状態になってしまう危険性は下がりましたが、それとともにマルウェアを怪しいと判定できる要素が減ったともいえます。
検出が困難になったということです。 - 削除された機能:ダイレクトリプライ機能
過去のバージョンのSharkbotには感染したデバイスで受信した通知に自動的に返信するために使用される機能が実装されていましたが、これが削除されています。
この機能は端末の悪用には有効なのですが機能の実現には権限が必要です。
このSharkbotのバージョンではこの機能も削除され、この部分でも検出が困難になったといえます。
Sharkbotは、オーバーレイ機能、キーロギング機能、SMSインターセプト機能などを駆使し、侵害を実現してしまいます。
通信プロトコルの変更やドメイン生成アルゴリズムの変更も実施されています。
今後もSharkbotを悪用するいくつものキャンペーンが展開される恐れがあります。
注意が必要なマルウェアの一つです。
参考記事(外部リンク):Sharkbot is back in Google Play
blog.fox-it.com/2022/09/02/sharkbot-is-back-in-google-play/
| この記事をシェア |
|
|---|
