Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies Ltd., un proveedor de soluciones de ciberseguridad a nivel mundial, ha descubierto seis aplicaciones que propagan malware bancario en la Play Store de Google haciéndose pasar por soluciones antivirus. Conocido como ‘Sharkbot’ este tipo de ataque roba credenciales e información bancaria de los usuarios de Android. Se trata de un malware que atrae a sus víctimas para que introduzcan sus credenciales en ventanas que imitan los formularios de inserción de credenciales. Cuando el usuario ingresa sus datos, la información comprometida se envía a un servidor malicioso. Asimismo, los investigadores han descubierto que los autores han implementado una función de geofencing que hace que no se ejecute el malware si los usuarios de dispositivos están en China, India, Rumanía, Rusia, Ucrania o Bielorrusia.
Cuatro de las solicitudes procedían de tres cuentas de desarrolladores, Zbynek Adamcik, Adelmio Pagnotto y Bingo Like Inc. Al comprobar el historial de estas direcciones, Check Point Research ha detectado que dos de ellas estaban activas desde el otoño de 2021. Algunas de las aplicaciones vinculadas a las mismas se eliminaron de Google Play, pero siguen existiendo en mercados no oficiales. Esto podría significar que el ciberdelincuente que está detrás intenta pasar desapercibido mientras sigue participando en actividades maliciosas.
Los investigadores han recogido datos estadísticos durante una semana. A lo largo de este tiempo, han contado más de 1.000 IPs de víctimas, en su mayoría de Reino Unido e Italia, y que aumenta aproximadamente en 100 nuevas personas afectadas cada día. Según las estadísticas de Google Play, hay 11.000 descargas de las seis aplicaciones maliciosas detectadas.
Metodología de ataque
Incluir al usuario para que conceda permisos de servicio de accesibilidad a la aplicación.
Tras ello, el malware obtiene el control de gran parte del dispositivo de la víctima.
Los ciberdelincuentes también pueden enviar notificaciones push a las víctimas con enlaces maliciosos.
No hay pruebas suficientes para hacer una atribución, aunque, se puede deducir que los autores del malware hablan ruso.
Google ha tenido conocimiento de los hallazgos inmediatamente después de identificar estas aplicaciones que propagan Sharkbot y, después de examinarlas, se han eliminado permanentemente de Google Play. El mismo día en que Check Point Research informó de los descubrimientos a Google, el grupo NCC publicó una investigación independiente sobre Sharkbot, mencionando una de las aplicaciones maliciosas.