Phần mềm độc hại SharkBot được phát hiện lần đầu tiên bởi các nhà nghiên cứu bảo mật tại Cleafy vào tháng 10 năm 2021. Sau khi phân tích, họ kết luận SharkBot thuộc loại độc nhất vô nhị v́ được trang bị nhiều tính năng xảo quyệt. Không liên quan đến phần mềm độc hại TeaBot hoặc Xenomorph từng được phát hiện trước đó.
Cụ thể, SharkBot được tích hợp hệ thống chuyển tiền tự động (ATS), cho phép kẻ tấn công tự động chuyển tiền ra khỏi tài khoản ngân hàng mà không cần sự can thiệp của con người. Hiện tại, các nhà nghiên cứu bảo mật đă phát hiện SharkBot ẩn ḿnh bên trong một ứng dụng chống virus trên Google Play.
SharkBot đă sử dụng phương pháp 3 lớp để vượt qua hàng rào kiểm duyệt của Google Play. Đầu tiên là giả dạng như một phần mềm chống virus thông thường, sau khi người dùng cài đặt, ứng dụng sẽ yêu cầu tải xuống các tiện ích bổ sung, đây chính là phiên bản đầy đủ của phần mềm độc hại.
Theo NCC, SharkBot có thể thực hiện “cuộc tấn công lớp phủ” ngay khi phát hiện một ứng dụng ngân hàng đang hoạt động. Cụ thể, phần mềm độc hại sẽ ngay lập tức hiển thị một màn h́nh đăng nhập gần giống với ứng dụng ngân hàng, khi người dùng nhập tài khoản và mă OTP, tiền trong tài khoản sẽ bị bốc hơi.
Bên cạnh đó, SharkBot c̣n có khả năng ghi lại tất cả thông tin bạn nhập trên bàn phím, chặn tin nhắn SMS (có chứa mă OTP) và gửi đến máy chủ của kẻ tấn công. Phần mềm này thậm chí c̣n có thể chiếm quyền điều khiển các thông báo đến, và gửi đến các thông báo do tin tặc kiểm soát.
Hiện tại ứng dụng chống virus bị nhiễm phần mềm độc hại SharkBot đă được tải xuống hơn 1.000 lượt. Do đó, nếu bạn đă cài đặt ứng dụng Antivirus, Super Cleaner giả mạo từ Google Play, hăy xóa nó ngay lập tức bằng cách bấm vào biểu tượng của ứng dụng, sau đó chọn Uninstall (gỡ cài đặt), hoặc khôi phục cài đặt gốc trên điện thoại.
Trước đó không lâu, các nhà nghiên cứu bảo mật cũng đă phát hiện nhiều ứng dụng trên Google Play bị nhiễm trojan ngân hàng TeaBot, chuyên nhắm mục tiêu vào các ứng dụng ngân hàng.
Trojan TeaBot xuất hiện từ năm 2021, cố gắng thu hút người dùng thông qua tin nhắn giả mạo (có chứa các liên kết độc hại). Nhóm nghiên cứu nhận thấy số lượng mục tiêu của TeaBot đă có bước nhảy vọt đáng kể, chủ yếu là các ứng dụng ngân hàng, tiền điện tử và bảo hiểm kỹ thuật số ở Mỹ, châu Âu và Hong Kong.
TeaBot hoạt động bằng cách sử dụng thao túng các dịch vụ trợ năng, cho phép kẻ tấn công theo dơi và tương tác từ xa với điện thoại. QR Code & Barcode - Scanner là một trong những ứng dụng mới nhất bị nhiễm TeaBot, hiện tại nó đă có hơn 10.000 lượt cài đặt.