新一代Android银行木马正在Google Play商店传播

NCC集团注意到去年Android恶意软件的增加，尤其是Android银行恶意软件。NCC集团的Treat Intelligence团队正在密切关注其中几个恶意软件家族。其中一个较新的恶意软件名为SharkBot的Android银行恶意软件。NCC集团了解到这种恶意软件通过官方Google play商店进行传播。

SharkBot是Cleafy威胁情报团队于2021年10月末发现的一种Android银行恶意软件。在撰写本文时，SharkBot恶意软件似乎与Flubot、Cerberus/Alien、Anatsa/Teabot、Oscorp等其他Android银行恶意软件没有任何关系。

该软件通过官方Google play商店进行传播。SharkBot的主要目标是通过自动转账系统(ATS)从受感染的设备发起资金转账。这种技术在Android恶意软件中并不常见，是一种高级攻击技术，允许攻击者自动填写合法移动银行应用程序中的字段并启动汇款。

在谷歌Play商店发现的SharkBot版本中，ATS功能允许恶意软件接收要模拟的事件列表，然后模拟这些事件以进行资金转账。由于此功能可用于模拟触摸/点击和按钮按压，因此它不仅可用于自动转账，还可用于安装其他恶意应用程序或组件。它似乎是SharkBot的缩减版本，具有最少的所需功能，如ATS，以便在初始安装后的某个时间安装恶意软件的完整版本。

由于通过谷歌Play商店作为假冒的反病毒软件进行分发，威胁者必须使用受感染的设备来传播恶意应用程序。鲨鱼饵通过滥用直接回复安卓功能。此功能用于自动发送带有消息的回复通知，以下载假冒的防病毒应用程序。这种滥用直接回复功能的传播策略最近出现在另一个名为Flubot,由威胁结构发现。

金钱和凭证窃取功能

SharkBot实施了四种主要策略来窃取Android中的银行凭证：

1.注入（覆盖攻击）：一旦检测到官方银行应用程序已打开，SharkBot就可以通过显示带有虚假登录网站（网络钓鱼）的WebView来窃取凭据。

2.键盘记录：Sharkbot可以通过记录可访问性事件（与文本字段更改和单击按钮相关）并将这些日志发送到命令和控制服务器(C2)来窃取凭据。

3.短信拦截：Sharkbot具有拦截/隐藏短信的能力。

4.远程控制/ATS：Sharkbot能够获得对Android设备的完全远程控制（通过辅助功能服务）。

对于大多数这些功能，SharkBot需要受害者启用可访问性权限和服务。这些权限允许Android银行恶意软件拦截用户与用户界面交互产生的所有可访问性事件，包括按钮按下、触摸、TextField更改（对键盘记录功能有用）等。拦截的可访问性事件还允许检测前台应用程序，因此银行恶意软件也使用这些权限来检测目标应用程序何时打开，以显示网络注入以窃取用户的凭据。

传送

Sharkbot是通过谷歌Play商店发布的，但也使用了安卓恶意软件中相对较新的功能：“直接回复”通知。通过此功能，C2可以向恶意软件提供消息，该消息将用于自动回复受感染设备中接收到的传入通知。Flubot最近引入了这一功能，以使用受感染的设备分发恶意软件，但SharkBot威胁参与者似乎在最近的版本中也包括了这一功能。