La unidad de investigación de SILIKN ha confirmado la emisión de una alerta por el descubrimiento de un nuevo troyano bancario en dispositivos Android identificado como Sharkbot que permite a los ciberdelincuentes robar información bancaria y de criptomonedas, incluidas las credenciales de usuario, la información personal, el saldo actual, así como realizar acciones y clics en el dispositivo infectado.
Sharkbot, que en principio se dirigió a clientes de servicios bancarios y de criptomonedas en el Reino Unido, Italia y Estados Unidos, ha sido identificado en Brasil, por lo que se estima que antes de finalizar 2021 pueda llegar a otros países de América Latina, como México. Hasta el momento, Sharkbot se ha dirigido a 23 bancos internacionales y 10 aplicaciones de criptomonedas.
Sharkbot funciona a través de la transmisión de datos y campañas de ingeniería social que inician transferencias de dinero desde los dispositivos comprometidos a través de técnicas de transacciones automáticas, sin pasar por los mecanismos de autenticación de múltiples factores. Este malware además permite a los delincuentes tomar el control de los dispositivos de las víctimas y robar fondos de criptomonedas y cuentas bancarias. Una vez que el troyano está instalado, puede explotar los servicios de accesibilidad y exfiltrar información como credenciales de inicio de sesión, saldo actual e información personal, entre otros. Además de esto, SharkBot tiene una tasa de detección muy baja por parte de las soluciones antivirus ya que ejecuta varias técnicas anti-análisis.
Su efectividad se debe principalmente a que se hace pasar por diferentes tipos de aplicaciones, por ejemplo, un reproductor multimedia, aplicaciones de recuperación de datos o de servicios de televisión en vivo.
De igual forma, una característica crítica es que Sharkbot abusa de los servicios de accesibilidad para realizar ataques al sistema de transferencia automática (ATS), lo que permite a los criminales completar automáticamente detalles confidenciales en aplicaciones legítimas e iniciar la transferencia de fondos.
Una vez ejecutado en un teléfono Android, SharkBot solicitará inmediatamente permisos de accesibilidad y desplegará en la pantalla del dispositivo móvil ventanas emergentes hasta que se le otorguen.
Sharkbot no presenta ningún icono de instalación y, una vez que tiene todos los permisos que necesita del teléfono, realiza ataques silenciosos de superposición de ventanas estándar para robar credenciales e información de tarjetas de crédito al igual que también puede registrar claves e interceptar u ocultar mensajes SMS entrantes.
Algo bueno es que, hasta el momento, no se han encontrado muestras en el repositorio oficial de aplicaciones de Android, Google Play Store, sino que el malware se carga desde una fuente externa, una práctica que se ha advertido varias veces es peligrosa ya que permite que las aplicaciones maliciosas eludan los controles de seguridad de la Google Play Store.
Por: Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000.