Sharkbot Android Malware se skrývá ve falešných antivirových aplikacích na Google Play

Bezpečnostní výzkumníci objevili v oficiálním obchodě Google Play další várku aplikací, které se vydávaly za antivirové programy, ale byly prošpikovány malwarem. Aplikace byly spojeny s bankovním malwarem Sharkbot ovlivňujícím zařízení Android.

Výzkumný tým s Check Point zjistil, že falešné antivirové aplikace byly staženy asi 15 000krát, než byly staženy. Google stáhl aplikace nabité malwarem až poté, co Check Point zaslal společnosti upozornění.

Sharkbot používá neobvyklé techniky

Škodlivých aplikací bylo „nejméně šest“ a byly navrženy tak, aby vypadaly jako legitimní mobilní bezpečnostní a antivirové nástroje, ale realita byla zcela opačná. Aplikace obsahovaly zloděje Sharkbot – druh malwaru pro Android, který byl vyvinutý za účelem krádeže bankovních informací a přihlašovacích údajů.

Podle Check Point má Sharkbot dvě funkce, díky kterým je výjimečný mezi malwarem pro Android. Prvním z nich je použití algoritmu generování domény malwarem. To se týká schopnosti malwaru příležitostně generovat řadu různých doménových jmen, které pak používá pro směrování komunikace na své příkazové a řídicí servery.

Druhou funkcí, která se u malwaru pro Android obvykle nevidí, je geofencing, který Sharkbot používá. Při použití ve vztahu k malwaru je geofencing termín používaný k označení schopnosti škodlivého softwaru útočit pouze na určité regiony a demografické údaje a vyhýbat se jiným, jako by je virtuálně „oplotil“. To se běžně vyskytuje u malwaru , který se nepokouší napadnout oběti v oblasti svého původu nebo v oblastech se zvýšenými bezpečnostními opatřeními.

Infekce především v západní Evropě

Většina zařízení a IP, které výzkumníci identifikovali jako infikované, se nacházela v západní Evropě, především ve Spojeném království a Itálii, přičemž pouze 2% podíl zbývajících infekcí na jiných územích.

Check Point uzavřel svou zprávu o malwaru pro Android radou, kterou také pokaždé opakujeme – instalujte pouze aplikace od „důvěryhodných a ověřených vydavatelů“. Je to však již podruhé, kdy se malware pro Android číhající na oficiálním obchodě Google Play dostal na titulky během několika týdnů, takže tato rada, i když je v zásadě správná, nebude stačit k ochraně každého uživatele před každou hrozbou.