תוכנת זדונית אנדרואיד Sharkbot מסתתרת באפליקציות אנטי-וירוס מזויפות ב-Google Play

חוקרי אבטחה גילו עוד אצווה של אפליקציות בחנות הרשמית של Google Play שהתחזו כאנטי-וירוס אך היו עמוסות בתוכנות זדוניות. האפליקציות היו כרוכות בתוכנה זדונית הבנקאית Sharkbot שהשפיעה על מכשירי אנדרואיד.

צוות מחקר עם צ'ק פוינט גילה שאפליקציות האנטי-וירוס המזויפות הורדו כ-15,000 פעמים לפני הסרתן. גוגל הסירה את האפליקציות עמוסות התוכנות הזדוניות רק לאחר שצ'ק פוינט שלחה התראה לחברה.

Sharkbot משתמש בטכניקות יוצאות דופן

האפליקציות הזדוניות היו "לפחות שש" ונועדו להיראות כמו כלי אבטחה ואנטי וירוס לגיטימיים לנייד, אבל המציאות הייתה הפוכה לגמרי. האפליקציות הכילו את הגנב Sharkbot - זן אנדרואיד של תוכנות זדוניות, שפותחו כדי לגנוב מידע בנקאי ואישורים.

לפי צ'ק פוינט, ל-Sharkbot שתי תכונות שהופכות אותו לבולט בקרב תוכנות זדוניות של אנדרואיד. הראשון שבהם הוא השימוש של התוכנה הזדונית באלגוריתם ליצירת תחום. זה מתייחס ליכולת של תוכנת זדונית ליצור מדי פעם מספר שמות דומיינים שונים, שבהם היא משתמשת לניתוב תקשורת לשרתי הפקודה והבקרה שלה.

התכונה השנייה שבדרך כלל לא נראית בתוכנה זדונית של אנדרואיד היא ה-geofencing שבו משתמש Sharkbot. כאשר משתמשים בה ביחס לתוכנות זדוניות, גיאופנסינג הוא המונח המשמש לציון יכולתה של התוכנה הזדונית לתקוף רק אזורים מסוימים ודמוגרפיה, תוך הימנעות מאחרים, כאילו למעשה "מגדר" אותם. זה נראה בדרך כלל עם תוכנות זדוניות שאינן מנסה לתקוף קורבנות באזור המוצא שלה או באזורים עם אמצעי אבטחה מוגברים.

זיהומים בעיקר במערב אירופה

רוב המכשירים וכתובות ה-IP שזוהו כנגועים על ידי החוקרים היו ממוקמים במערב אירופה, בעיקר בבריטניה ובאיטליה, עם רק חלק של 2% מהזיהומים הנותרים בטריטוריות אחרות.

צ'ק פוינט סיכמה את הדו"ח שלה על תוכנת זדונית אנדרואיד בעצה שאנו גם מהדהדים בכל פעם - התקן רק אפליקציות מ"מפרסמים מהימנים ומאומתים". עם זאת, זו הפעם השנייה שבה תוכנות זדוניות אנדרואיד האורבות בחנות Google Play הרשמית עלתה לכותרות תוך מספר שבועות בלבד, כך שהעצה הזו, למרות שהיא נכונה ביסודה, לא תספיק כדי להגן על כל משתמש מכל איום.