Phần mềm độc hại SharkBot lần đầu tiên được phát hiện bởi các nhà nghiên cứu bảo mật tại Cleafy vào tháng 10 năm 2021.
Sau khi phân tích, họ kết luận SharkBot là duy nhất vì nó được trang bị nhiều tính năng xảo quyệt, và không liên quan đến phần mềm độc hại TeaBot hoặc Xenomorph đã được phát hiện trước đó.
 |
Cụ thể, SharkBot được tích hợp hệ thống chuyển tiền tự động (ATS), cho phép kẻ tấn công tự động chuyển tiền ra khỏi tài khoản ngân hàng mà không cần sự can thiệp của con người.
Sau khi bị xóa, một phiên bản mới của phần mềm độc hại SharkBot đã quay trở lại Google Play, ẩn náu bên trong các ứng dụng Android với hàng chục nghìn lượt tải xuống.
Để qua mặt cơ chế kiểm duyệt của Google, phần mềm độc hại chỉ thực sự được tải xuống điện thoại sau khi người dùng cập nhật ứng dụng.
Theo một bài đăng trên blog của Fox IT, hai ứng dụng chứa phần mềm độc hại SharkBot, “Mister Phone Cleaner” và “Kylhavy Mobile Security”, có tổng cộng hơn 60.000 lượt cài đặt.
 |
|
Phần mềm độc hại bạn nên loại bỏ ngay lập tức. Ảnh: Fox IT |
Cả hai ứng dụng hiện đã bị xóa khỏi Google Play nhưng chúng sẽ vẫn có trên điện thoại của bạn nếu bạn đã cài đặt chúng trước đó.
Để gỡ cài đặt, hãy chuyển đến Cài đặt – Ứng dụng – Quản lý ứng dụng, chọn ứng dụng độc hại và nhấp vào Gỡ cài đặt. Lưu ý, tên và vị trí của các tùy chọn có thể khác nhau tùy thuộc vào thiết bị bạn đang sử dụng.
Phiên bản mới của SharkBot có thể thực hiện các cuộc tấn công lớp phủ, đánh cắp dữ liệu thông qua keylogging, chặn tin nhắn SMS hoặc cho phép tin tặc kiểm soát từ xa bằng cách lạm dụng dịch vụ trợ năng của điện thoại. .
Vào tháng 5 năm 2022, các nhà nghiên cứu tại ThreatFnai phát hiện ra rằng SharkBot 2 đi kèm với thuật toán tạo tên miền (DGA), mã cập nhật và giao thức kết nối, cũng như khả năng lấy cắp cookie từ thông tin đăng nhập tài khoản ngân hàng.
Khi nạn nhân đăng nhập vào tài khoản ngân hàng, SharkBot sẽ đánh cắp cookie phiên bằng một lệnh mới (logsCookie) và gửi đến máy chủ.
Cookie cho phép kẻ gian đăng nhập vào tài khoản của bạn mà không cần biết mật khẩu của bạn, sử dụng dấu vân tay hoặc mã xác thực của bạn (trong một số trường hợp).
Các nhà nghiên cứu nhận thấy rằng chiến dịch SharkBot hiện đang được triển khai ở Châu Âu (Tây Ban Nha, Áo, Đức, Ba Lan, Áo) và Mỹ.
