Sharkbot Android -haittaohjelmat piiloutuvat väärennettyihin virustorjuntasovelluksiin Google Playssa

Tietoturvatutkijat ovat löytäneet virallisesta Google Play -kaupasta jälleen joukon sovelluksia, jotka esiintyivät virustentorjunnassa, mutta joissa oli haittaohjelmia. Sovelluksissa oli Sharkbot -pankkihaittaohjelmia, jotka vaikuttavat Android-laitteisiin.

Check Pointin tutkimusryhmä havaitsi, että väärennetyt virustorjuntasovellukset ladattiin noin 15 000 kertaa ennen kuin ne poistettiin. Google poisti haittaohjelmia sisältävät sovellukset vasta sen jälkeen, kun Check Point lähetti yritykselle varoituksen.

Sharkbot käyttää epätavallisia tekniikoita

Haitallisia sovelluksia oli "vähintään kuusi" ja ne oli suunniteltu näyttämään laillisilta mobiilitietoturva- ja virustorjuntatyökaluilta, mutta todellisuus oli päinvastainen. Sovellukset sisälsivät Sharkbot-varastajan – Android-haittaohjelman, joka on kehitetty varastamaan pankkitietoja ja valtuustietoja.

Check Pointin mukaan Sharkbotilla on kaksi ominaisuutta, jotka tekevät siitä erottuvan Android-haittaohjelmien joukossa. Ensimmäinen niistä on haittaohjelmien verkkotunnuksen luomisalgoritmin käyttö. Tämä viittaa haittaohjelman kykyyn luoda ajoittain useita erilaisia verkkotunnuksia, joita se sitten käyttää reitittämään viestintää komento- ja ohjauspalvelimilleen.

Toinen ominaisuus, jota ei yleensä nähdä Android-haittaohjelmissa, on Sharkbotin käyttämä geofencing. Haittaohjelmien yhteydessä käytettynä geoaidalla tarkoitetaan haittaohjelmiston kykyä hyökätä vain tiettyihin alueisiin ja väestötietoihin, välttäen muita, ikään kuin "aitaisi" ne käytännössä. Tämä näkyy yleisesti haittaohjelmissa , jotka eivät yritä hyökätä uhrien kimppuun alkuperäalueellaan tai alueilla, joilla on tehostettu turvatoimia.

Infektiot pääasiassa Länsi-Euroopassa

Suurin osa tutkijoiden tartunnan saaneiksi tunnistamista laitteista ja IP-osoitteista sijaitsi Länsi-Euroopassa, pääasiassa Isossa-Britanniassa ja Italiassa, ja vain 2 % jäljellä olevista tartunnoista muilla alueilla.

Check Point päätti Android-haittaohjelmia koskevan raportin neuvoihin, joita myös toistamme joka kerta - asenna vain "luotettujen ja vahvistettujen julkaisijoiden" sovelluksia. Tämä on kuitenkin toinen kerta, kun virallisessa Google Play -kaupassa piilevät Android-haittaohjelmat nousivat otsikoihin muutamassa viikossa, joten tämä neuvo, vaikka se on pohjimmiltaan järkevä, ei riitä suojaamaan jokaista käyttäjää kaikilta uhilta.