Keluarga malware SharkBot pertama kali ditemukan pada Oktober 2021 dan terus berkembang dengan cara baru untuk meretas aplikasi kripto dan bank berbasis pengguna Android.

Versi terbaru dari aplikasi perbankan dan kripto yang mengandung malware baru-baru ini muncul kembali di Google Play Store, sekarang dengan kemampuan untuk mencuri cookie dari login akun dan melewati persyaratan sidik jari atau otentikasi.

Peringatan tentang versi baru malware dibagikan oleh analis malware Alberto Segura dan analis intelijen Mike Stokkel di akun Twitter pada hari Jumat (02/09), berbagi artikel yang ditulis bersama mereka di blog Fox IT.

Menurut Segura, versi baru dari malware itu ditemukan pada 22 Agustus dan dapat "melakukan serangan overlay, mencuri data melalui keylogging, mencegat pesan SMS, atau memberi pelaku ancaman kendali jarak jauh penuh dari perangkat host dengan menyalahgunakan Layanan Aksesibilitas."

Versi malware baru ditemukan di dua aplikasi Android, Mister Phone Cleaner dan Kylhavy Mobile Security, yang masing-masing telah mengumpulkan 50.000 dan 10.000 unduhan.

Kedua aplikasi awalnya dapat masuk ke Play Store karena tinjauan kode otomatis Google tidak mendeteksi kode berbahaya, meskipun sejak itu telah dihapus dari toko.

Beberapa pengamat menyarankan bahwa pengguna yang menginstal aplikasi mungkin masih berisiko dan harus menghapus aplikasi secara manual.

Analisis mendalam oleh perusahaan keamanan yang berbasis di Italia Cleafy menemukan bahwa 22 target telah diidentifikasi oleh SharkBot, yang mencakup lima pertukaran mata uang kripto dan sejumlah bank internasional di Amerika Serikat, Inggris, dan Italia.

Adapun modus serangan malware, versi sebelumnya dari malware SharkBot “bergantung pada izin aksesibilitas untuk secara otomatis melakukan instalasi malware SharkBot dropper.”

Namun, versi baru ini berbeda karena “meminta korban untuk menginstal malware sebagai pembaruan palsu agar antivirus tetap terlindungi dari ancaman.”

Setelah terinstal, jika korban masuk ke bank atau akun kripto mereka, SharkBot dapat mengambil cookie sesi valid mereka melalui perintah “logsCookie,” yang pada dasarnya mengabaikan metode sidik jari atau otentikasi yang digunakan.

Versi pertama malware SharkBot pertama kali ditemukan oleh Cleafy pada Oktober 2021.

Menurut analisis pertama Cleafy tentang SharkBot, tujuan utama SharkBot adalah "untuk memulai transfer uang dari perangkat yang disusupi melalui teknik Sistem Transfer Otomatis (ATS) melewati mekanisme otentikasi multi-faktor."

Referensi :

https://cointelegraph.com/news/crypto-app-targeting-sharkbot-malware-resurfaces-on-google-app-store