เมนู

Malware SharkBot

SharkBot FULL

พบ 2 แอพพลิเคชั่นที่เป็นอันตรายบน Google Play (Mister Phone Cleaner, Kylhavy Mobile Security) ขโมยข้อมูลคุกกี้จากการ Login ระบบบัญชีธนาคารของผู้ใช้

7 กันยายน 2565

มัลแวร์ SharkBot เวอร์ชั่นใหม่ที่ถูกอัพเกรดกลับมายัง Google Play Store มุ่งเป้าหมายผู้เข้าใช้ระบบธนาคารผ่านแอพพลิเคชันบนอุปกรณ์ Android ที่มีการติดตั้งนับ 10,000 ครั้ง แต่จากการตรวจสอบโดย Google  ทั้ง 2 แอปไม่พบโค้ดที่เป็นอันตราย อย่างไรก็ตาม SharkBot ได้ทำการอัพเดทหลังจากที่ผู้ใช้ทำการติดตั้ง และเปิดใช้งาน

จากโพสของ Fox IT ซึ่งเป็นส่วนหนึ่งของทาง NCC Group ตรวจพบแอปที่เป็นอันตราย 2 แอปคือ “Mister Phone Cleaner” และ “Kylhavy Mobile Security” ที่มีการติดตั้งไปแล้วกว่า 60,000 ครั้ง
 
 
 
 

เบื้องต้นทั้ง 2 แอพพลิเคชันนี้ได้ถูกนำออกจาก Google Play แล้ว ส่วนผู้ใช้ที่ยังไม่ได้ทำการถอนการติดตั้ง หรือลบแอพพลิเคชันนี้ออกยังคงมีความเสี่ยงในการใช้งานอยู่

เมื่อกล่าวถึง SharkBot ได้ถูกค้นพบโดยนักวิเคราะห์ด้านความปลอดภัย Cleafy ในประเทศอิตาลี ในช่วงเดือนตุลาคม 2564 และถูกพบครั้งแรกบนแอพพลิเคชันที่มีการใช้งานบน Google Play ในช่วงเดือนมีนาคม 2565 โดยกลุ่ม NCC Group

ช่วงเวลาที่พบมัลแวร์ตัวนี้สามารถทำการโจมตีแบบ Overlay Attacks โดยขโมยข้อมูลผ่านการkeylogging การสกัดกั้นข้อความ SMS หรือให้ผู้โจมตีสามารถเข้าควบคุมเครื่องแม่ข่าย หรือเครื่องโฮสต์จากระยะไกลได้อย่างสมบูรณ์ โดยใช้วิธีการเข้าถึงข้อมูลด้วยในทางที่ผิด

ในช่วงเดือนพฤษภาคม 2565 นักวิจัย Threat Fabric spotted SharkBot 2 ที่มาพร้อมกับอัลกอริทึมในการสร้างโดเมน (DGA) เป็นเรื่องของโปรโตคอลที่ใช้สำหรับการสื่อสารที่อัพเดท และโค้ดที่มีการปรับโครงสร้างใหม่ทั้งหมด

ในวันที่ 22 สิงหาคม นักวิจัย Fox IT ได้ค้นพบมัลแวร์เวอร์ชั่นใหม่ (2.25) ซึ่งเพิ่มความสามารถในการขโมยข้อมูลคุกกี้จากการเข้าสู่ระบบบัญชีธนาคารของผู้ใช้งาน นอกจากนี้ในส่วนของ dropper apps เวอร์ชั่นใหม่ จะไม่ใช้วิธีการเข้าถึงแบบผิดๆ เหมือนที่เคยทำมาก่อนแต่จะทำการคลิกปุ่มทั้งหมดโดยอัตโนมัติที่แสดงใน UI เพื่อทำการติดตั้ง SharkBot  แต่นี่ยังไม่ใช่วิธีในเวอร์ชั่นใหม่ของ dropper สำหรับ SharkBot

ในการทำงานของ dropper จะทำการส่งคำขอไปยังเซิร์ฟเวอร์ C2 เพื่อรับไฟล์ของ SharkBot โดยตรงโดยไม่ต้องใช้ลิงก์ดาวน์โหลด และขั้นตอนการติดตั้ง โดยจะใช้วิธีการ ‘Automatic Transfer Systems’ (ATS) แทน ทาง Fox IT กล่าว

เมื่อทำการติดตั้งเสร็จแล้วจะทำการติดต่อกลับไปยังเซิร์ฟเวอร์ C2 เพื่อเป็นการออกคำสั่ง และควบคุมการทำงาน เพื่อทำการเรียกร้องการใช้ไฟล์ SharkBot APK ที่เป็นอันตราย ในการใช้งานจะมีการแจ้งเตือนปกติในการร้องขอให้ทำการอัพเดท และทำการติดตั้งไฟล์ APK รวมถึงอนุญาตให้สิทธิ์ที่จำเป็นทั้งหมดในการใช้งาน ทำให้การตรวจจับเป็นไปได้ยากขึ้นเพราะ SharkBot จะจัดเก็บข้อกำหนดต่างๆ ในรูปแบบของฮาร์ดโค้ดที่มีการเข้ารหัสโดยใช้อัลกอริทึม RC4

เมื่อพูดถึง Overlay ที่ได้มีการกล่าวไปในตอนต้นเรื่องของการสกัดกั้น SMS, การรีโมทคอนโทรลต่างๆ และยังรวมถึงระบบการ keylogging ที่มีอยู่ใน SharkBot 2.25 ในส่วนนี้มีการเพิ่มตัวบันทึกคุกกี้ไว้อีกด้วย

เมื่อเหยื่อหรือผู้ใช้งานเองได้ทำการลงชื่อเข้าใช้งานระบบธนาคาร เจ้า SharkBot จะทำการบันทึกคุกี้ที่ถูกต้องโดยใช้คำสั่งใหม่ “logsCookie” และทำการส่งไปที่เซิร์ฟเวอร์ C2

คุกกี้สามารถเข้าควบคุมบัญชีได้ เนื่องจากมีซอฟต์แวร์ และพารามิเตอร์ต่างๆ ที่ช่วยระบุตำแหน่งรวมถึงข้ามผ่านการตรวจสอบลายนิ้วมือ หรือในบางกรณีจะเป็น Token การตรวจสอบสิทธิ์ของตัวผู้ใช้เอง

ในระหว่างการสอบสวนทาง Fox IT ได้สังเกตเห็น SharkBot ใหม่ที่ถูกพบในทวีปยุโรป (สเปน ออสเตรีย เยอรมนี โปแลนด์ และสหรัฐอเมริกา) โดยนักวิจัยพบว่าส่วนใหญ่การโจมตีจะใช้วิธี keylogging เพื่อทำการขโมยข้อมูลจากการใช้งานผ่านแอพพลิเคชันต่างๆ ที่ตกเป็นเป้าหมาย ท้ายที่สุดทาง Fox IT คาดว่า SharkBot ยังคงเดินหน้าต่อไปในการพัฒนาการมัลแวร์ที่มีประสิทธิภาพมากยิ่งขึ้น