Los investigadores han descubierto y analizado un nuevo troyano bancario de Android que permite a los atacantes robar información bancaria confidencial, como credenciales de usuario, información personal, saldo actual e incluso realizar gestos en el dispositivo infectado, cabe destacar que este troyano bancario puede eludir los controles de autenticación multifactor mediante el abuso de ATS.
ATS permite a los atacantes completar automáticamente los campos de un dispositivo infectado con una mínima intervención humana. Lanza un servicio de autocompletado para facilitar transferencias de dinero fraudulentas a través de aplicaciones legítimas de servicios financieros. SharkBot utiliza esta técnica para evitar el análisis de comportamiento, las comprobaciones biométricas y la autenticación multifactor (MFA).
Aplicaciones como estas a menudo se ofrecen para descargar disfrazadas de reproductor multimedia, TV en vivo o aplicaciones de recuperación de datos por lo que debes tener cuidado con lo que descargas siempre.
Una vez ejecutado en un teléfono Android, SharkBot solicitará inmediatamente permisos de accesibilidad, y plagará a la víctima con ventanas emergentes hasta que se le otorguen.
No se muestra ningún icono de instalación. Ahora armado con todos los permisos de teléfono que necesita, SharkBot realizará silenciosamente ataques de superposición de ventanas estándar para robar credenciales e información de tarjetas de crédito, robo basado en ATS, y también puede registrar claves y tanto interceptar u ocultar mensajes SMS entrantes.
El lado positivo es que no se han encontrado muestras en el repositorio oficial de aplicaciones de Android, Google Play Store. En cambio, el malware debe cargarse desde una fuente externa a través de la carga lateral asi que solo debemos descargar aplicaciones desde la store oficial de android.
