El nuevo virus que causa estragos se denomina SharkBot, y tiene como principal víctima a dispositivos que utilicen el sistema operativo Android.
Se trata de un troyano que se infiltra en los smartphones en forma de aplicación para robar las cuentas bancarias y de criptomonedas.
El troyano fue detectado por primera vez a fines de octubre de 2021 por el equipo de Cleafy TIR.
Según detalla la compañía en un comunicado, el objetivo principal de SharkBot es infiltrarse en el dispositivo móvil, conseguir las contraseñas y firmas electrónicas del usuario para transferirse todo el dinero desde nuestra cuenta bancaria.
Este malware está diseñado para atacar un total de 27 objetivos, contando 22 bancos internacionales no identificados en Italia y el Reino Unido, así como cinco aplicaciones de criptomonedas en Estados Unidos.
Se cree que el malware se encuentra en sus primeras etapas de desarrollo, sin superposiciones con ninguna familia conocida.
"El objetivo principal de SharkBot es iniciar transferencias de dinero desde los dispositivos comprometidos a través de la técnica de Sistemas de Transferencia Automática (ATS) sin pasar por los mecanismos de autenticación de múltiples factores", explicaron los investigadores.
Precisaron que "una vez que SharkBot se instala con éxito en el dispositivo de la víctima, los atacantes pueden obtener información bancaria confidencial mediante el abuso de los Servicios de Accesibilidad, como credenciales, información personal, saldo actual pero también para realizar gestos en el dispositivo afectado".
SharkBot, al igual que sus homólogos de malware TeaBot y ubel, pide de forma repetida a los usuarios permisos en ventanas emergentes con el fin de robar información sensible.
El modus operandi efectivamente elimina la necesidad de registrar un nuevo dispositivo para realizar actividades fraudulentas, mientras que también pasa por alto los mecanismos de autenticación de dos factores implementados por las aplicaciones bancarias.
Además, el malware viene con varias características que ahora se observan en todos los troyanos bancarios de Android, como la capacidad de realizar ataques de superposición para robar credenciales de inicio de sesión e información de tarjetas de crédito, interceptar comunicaciones bancarias legítimas enviadas a través de SMS, habilitar el registro de teclas y obtener un control remoto completo de los dispositivos comprometidos.
SharkBot también se destaca por los pasos que toma para evadir el análisis y la detección, incluida la ejecución de comprobaciones del emulador, el cifrado de las comunicaciones de comando y control con un servidor remoto y la ocultación del icono de la aplicación en la pantalla de inicio después de la instalación.
Un dato importante es que hasta ahora no se han detectado muestras del malware en la tienda Google Play, lo que implica que las aplicaciones maliciosas se instalan en los dispositivos de los usuarios, ya sea a través de sistemas de descarga lateral o de ingeniería social.
"El descubrimiento de SharkBot en la naturaleza muestra cómo los malwares móviles están encontrando rápidamente nuevas formas de realizar fraudes, tratando de eludir las contramedidas de detección de comportamiento implementadas por múltiples bancos y servicios financieros durante los últimos años", coincidieron los investigadores.