Данное вредоносное программное обеспечение не требует разрешения «автоматически скачивать» дополнительные сторонние файлы. Оно склоняет пользователей самостоятельно устанавливать поддельное обновление для программы с «благой» целью «оставаться защищенными от угроз», сообщил the Hacker News 5 сентября 2022 года.
Исследовательская группа Fox-IT из NCC Group сумела выявить приложения, которые не предоставляют обещанной защиты. Mister Phone Cleaner и Kylhavy Mobile Security, которые уже были установлены более 60 тыс. раз.
Мошенническое ПО предназначено для сброса новой версии SharkBot, (или V2, как ее называет голландская компания по безопасности ThreatFabric). В программу внедрен обновленный механизм связи управления и контроля, алгоритм генерации домена и переработчик кодовой базы. Fox-IT заявила, что 22 августа 2022 года обнаружила новейшую версию ПО, в которой появилась функция перекачивания файлов cookie в периоды, когда пользователь совершает авторизацию в банковском приложении и изучает свои счета.
Избегая разрешений на доступность для установки SharkBot, разработка подчеркивает, что операторы активно настраивают свои методы, чтобы избежать обнаружения, не говоря уже о поиске альтернативных методов перед лицом недавно введенных ограничений Google для ограничения злоупотребления API. Другие известные возможности кражи информации включают внедрение поддельных кнопок для сбора учетных данных, перехват SMS-сообщений и другие способы осуществления мошеннических переводов средств.
Ранее Интернет-журнал «LinDeal.com» рассказал о том, что обнаружены новые доказательства связи вредоносного ПО Raspberry Robin с троянской программой Dridex и российскими хакерами Evil Corp.