После того, как в феврале 2022 года Fox-It обнаружили в Google Play дроппер SharkBotDropper, выдававший себя за поддельный антивирус и чистильщик Android, теперь Fox-It обнаружили новую версию этого дроппера, активную в Google Play и сбрасывающую новую версию Sharkbot.
Этот новый дроппер не полагается на разрешения Accessibility для автоматической установки вредоносной программы Sharkbot. Вместо этого новая версия просит жертву установить вредоносную программу в качестве поддельного обновления для антивируса, чтобы оставаться защищенной от угроз.
Fox-It обнаружили два приложения SharkbotDopper, активных в Google Play Store, с 10К и 50К установок каждое.
Дропперы из Google Play загружают полнофункциональный Sharkbot V2, обнаруженный некоторое время назад компанией ThreatFabric. 16 августа 2022 года команда Threat Intelligence компании Fox-IT обнаружила новые командно-контрольные серверы (C2s), которые предоставляли список целей, включая банки за пределами Великобритании и Италии. Новыми целевыми странами в этих C2 были: Испания, Австралия, Польша, Германия, Соединенные Штаты Америки и Австрия.
22 августа 2022 года команда Threat Intelligence компании Fox-IT обнаружила новый образец Sharkbot версии 2.25, который общался с серверами командного управления, упомянутыми ранее.
Indicators of Compromise
IPv4
- 185.212.47.113
Domains
- 23080420d0d93913.live
- 7f3e61be7bb7363d.live
URLs
- http://browntrawler.store/
- http://mefika.me/
- https://play.google.com/store/apps/details?id=com.kylhavy.antivirus
- https://play.google.com/store/apps/details?id=com.mbkristine8.cleanmaster
SHA256
- 7f2248f5de8a74b3d1c48be0db574b1c6558d6edae347592b29dc5234337a5ff
- 870747141b1a2afcd76b4c6482ce0c3c21480ae3700d9cb9dd318aed0f963c58