Cyberthreat.id - Peneliti keamanan menemukan trojan perbankan Android baru yang mampu membajak smartphone pengguna dan mengosongkan akun e-banking dan cryptocurrency.

Dinamakan SharkBot, setelah salah satu domain yang digunakan untuk server perintah dan kontrolnya, malware tersebut telah didistribusikan secara aktif sejak akhir Oktober 2021, ketika pertama kali ditemukan oleh perusahaan keamanan seluler Cleafy dan ThreatFabric.

“Pada saat penulisan, kami tidak melihat ada sampel di pasar resmi Google,” kata peneliti Cleafy dalam sebuah laporan pada  Jumat pekan lalu.

Peneliti menemukan malware ini menyerang sejumlah pemilik akun bank dan mata uang kripto di Italia, Inggris, dan Amerika Serikat.

SharkBot telah menyerang sebanyak 27 target dengan rincian 22 bank internasional tidak terkenal di Italia dan Inggris, serta 5 aplikasi mata uang kripto di Amerika sejak akhir Oktober 2021.

Malware ini disebut masih berada dalam tahap awal pengembangannya, karena tidak ada bukti malware ini terkait dengan malware lain.

"Tujuan utama SharkBot adalah untuk memulai transfer uang dari perangkat yang disusupi melalui teknik Sistem Transfer Otomatis (ATS) melewati mekanisme otentikasi multi-faktor (seperti SCA)," kata peneliti dalam laporannya.

SharkBot, seperti sepupu malwarenya, TeaBot dan UBEL, berperan sebagai pemutar media, siaran langsung TV, atau program pemulihan data untuk mengelabui pengguna agar memberikan izin luas untuk mengumpulkan informasi pribadi mereka. Eksploitasi pengaturan aksesibilitas memungkinkan operator untuk mengisi formulir secara otomatis di aplikasi perbankan seluler asli dan memulai transfer uang dari perangkat yang diretas ke jaringan bagal uang pelaku ancaman.

Metode operasi ini secara efektif memungkinkan perlindungan otentikasi dua faktor yang diterapkan oleh aplikasi perbankan untuk dilewati.

Di antara teknik yang digunakan SharkBot untuk menghindari analisis dan penemuan adalah penggunaan pemeriksaan emulator, enkripsi interaksi perintah-dan-kontrol dengan server jarak jauh, dan menutupi ikon aplikasi dari layar beranda setelah penginstalan.

Kemampuan tambahan dari trojan perbankan ini termasuk kemampuan untuk melakukan serangan overlay untuk mencuri kata sandi login dan informasi kartu kredit, mencegat interaksi SMS banking asli, mengaktifkan keylogging, dan mendapatkan kendali jarak jauh lengkap dari perangkat yang terpengaruh.

Sejauh ini, sampel malware dari Trojan yang menginfeksi ponsel cerdas pengguna belum ditemukan di Google Play Store resmi, yang menunjukkan bahwa ancaman tersebut dialihkan atau dikirim melalui teknik rekayasa sosial.[]