Cyberthreat.id – Malware SharkBot dengan versi baru yang ditingkatkan telah kembali ke Google Play Store. Malware ini diketahui menargetkan login perbankan pengguna Android melalui aplikasi yang memiliki puluhan ribu instalasi.

Dikutip dari Bleeping Computer, malware itu hadir di dua aplikasi Android yang tidak menampilkan kode berbahaya apa pun saat dikirimkan ke peninjauan otomatis Google. Namun, SharkBot ditambahkan dalam pembaruan yang terjadi setelah pengguna menginstal dan meluncurkan aplikasi penetes.

Menurut sebuah posting blog oleh Fox IT, bagian dari NCC Group, dua aplikasi berbahaya adalah "Mister Phone Cleaner" dan "Kylhavy Mobile Security," secara kolektif menghitung 60.000 instalasi. Kedua aplikasi telah dihapus dari Google Play, tetapi pengguna yang menginstalnya masih berisiko dan harus menghapusnya secara manual.

Analis malware di Cleafy, perusahaan manajemen dan pencegahan penipuan online Italia, menemukan SharkBot pada Oktober 2021. Pada Maret 2022, NCC Group menemukan aplikasi pertama yang membawanya di Google Play.

“Pada saat itu, malware dapat melakukan serangan overlay, mencuri data melalui keylogging, mencegat pesan SMS, atau memberi pelaku ancaman kendali jarak jauh penuh atas perangkat host dengan menyalahgunakan Layanan Aksesibilitas,” kata Analis Malware di Cleafy.

Sementara itu, pada Mei 2022, para peneliti di ThreatFabric menemukan SharkBot 2 yang datang dengan algoritme pembuatan domain (DGA), protokol komunikasi yang diperbarui, dan kode yang sepenuhnya di-refactored.

Para peneliti di Fox IT menemukan versi baru malware (2.25) pada 22 Agustus, yang menambahkan kemampuan untuk mencuri cookie dari login rekening bank. Selain itu, aplikasi penetes baru tidak menyalahgunakan Layanan Aksesibilitas seperti sebelumnya.

“Menyalahgunakan izin aksesibilitas, penetes dapat secara otomatis mengklik semua tombol yang ditampilkan di UI untuk menginstal Sharkbot. Tapi ini tidak terjadi di versi baru dropper untuk Sharkbot ini,” ujar peneliti Fox IT.

Peneliti mengatakan, Dropper sebaliknya akan membuat permintaan ke server C2 untuk langsung menerima file APK dari Sharkbot. Itu tidak akan menerima tautan unduhan di samping langkah-langkah untuk menginstal malware menggunakan fitur 'Sistem Transfer Otomatis' (ATS), yang biasanya dilakukan.

Setelah diinstal, aplikasi penetes menghubungi server perintah dan kontrol (C2) yang meminta file APK SharkBot yang berbahaya. Dropper kemudian memberi tahu pengguna bahwa pembaruan telah tersedia dan meminta mereka untuk menginstal APK dan memberikan semua izin yang diperlukan.

“Untuk membuat deteksi otomatis lebih sulit, SharkBot menyimpan konfigurasi hard-codednya dalam bentuk terenkripsi menggunakan algoritma RC4,” kata peneliti.

Sistem overlay, intersep SMS, remote control, dan keylogging masih ada di SharkBot 2.25, tetapi cookie logger telah ditambahkan di atasnya. Saat korban masuk ke rekening bank mereka, SharkBot mengambil cookie sesi valid mereka menggunakan perintah baru (“logsCookie”) dan mengirimkannya ke C2.

Cookie berharga untuk mengambil alih akun karena berisi perangkat lunak dan parameter lokasi yang membantu melewati pemeriksaan sidik jari atau, dalam beberapa kasus, token otentikasi pengguna itu sendiri.

Selama penyelidikan, Fox IT mengamati kampanye SharkBot baru di Eropa (Spanyol, Austria, Jerman, Polandia, Austria) dan AS. Para peneliti memperhatikan bahwa malware menggunakan fitur keylogging dalam serangan ini dan mencuri info sensitif langsung dari aplikasi resminya.