新型Android木马应用 SharkBot 利用辅助功能缺陷窃取资金

网络安全研究人员揭开了一个新的 Android 木马程序的面纱，该木马利用设备上的辅助功能的缺陷窃取银行和加密货币应用中窃取资金。

该Android恶意软件被称为 SharkBot ，通过自动转账系统 (ATS) 技术绕过多因素身份验证机制，在受感染的设备中发起资金转账，从而窃取资金。从2021年10月下旬以来，总共攻击了27个目标，包括22家国际银行APP和5个加密货币APP。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，一旦SharkBot成功安装在受害者的设备中，攻击者就可以通过滥用无障碍服务获取敏感的银行信息，例如凭据、个人信息、当前余额等，还可以在受感染的设备上执行手势。

SharkBot恶意程序伪装成媒体播放器、直播电视或数据恢复应用程序，与其其他恶意软件例如TeaBot和UBEL 一样，使用流氓弹出窗口反复提示用户授予能获取敏感信息的各种权限。它与众不同的地方是利用可访问性设置来执行自动转账系统攻击，这个无障碍辅助功能让恶意程序可以自动填充合法银行APP中的字段，通过这样的攻击手段绕过了银行应用程序设置的两因素身份验证机制，大大提升了攻击的成功率。

此外，该恶意软件还具有目前在所有Android 银行木马程序中观察到的所有功能，例如执行覆盖攻击以窃取登录凭据和信用卡信息、拦截通过 SMS 发送的合法银行通信、启用键盘记录和获得完全远程控制的能力受感染的设备。

SharkBot 还以逃避分析和检测所采取的步骤而著称，包括运行模拟器检查、加密与远程服务器的命令和控制通信，以及在安装后从主屏幕隐藏应用程序的图标。在官方 Google Play 商店中未检测到恶意软件样本，这意味着恶意应用程序是通过旁加载或社交工程方案安装在用户设备上的。