A Sharkbot Android rosszindulatú programja elrejtőzik a hamis víruskereső alkalmazásokban a Google Playen

Biztonsági kutatók újabb köteg alkalmazásokat fedeztek fel a hivatalos Google Play Áruházban, amelyek vírusirtónak tűntek, de rosszindulatú programokat tartalmaztak. Az alkalmazásokat az Android-eszközöket érintő Sharkbot banki kártevőkkel tarkították.

A Check Point kutatócsoportja felfedezte, hogy a hamis víruskereső alkalmazásokat körülbelül 15 000 alkalommal töltötték le, mielőtt eltávolították őket. A Google csak azután távolította el a rosszindulatú programokkal teli alkalmazásokat, hogy a Check Point figyelmeztetést küldött a cégnek.

A Sharkbot szokatlan technikákat használ

A rosszindulatú alkalmazások "legalább hat" voltak, és úgy tervezték, hogy legitim mobilbiztonsági és víruskereső eszközöknek tűnjenek, de a valóság ennek éppen az ellenkezője volt. Az alkalmazások tartalmazták a Sharkbot-lopót – egy androidos rosszindulatú szoftvert, amelyet banki információk és hitelesítő adatok ellopására fejlesztettek ki.

A Check Point szerint a Sharkbot két olyan funkcióval rendelkezik, amelyek kiemelik az Android rosszindulatú programjai közül. Az első ezek közül az, hogy a rosszindulatú program tartománygeneráló algoritmust használ. Ez arra utal, hogy a rosszindulatú program alkalmanként számos különböző tartománynevet generál, amelyeket aztán a kommunikáció irányítására használ a parancs- és vezérlőszerverei felé.

A második funkció, amely általában nem látható az Android rosszindulatú programjaiban, a Sharkbot által használt geofencing. Ha rosszindulatú programokkal kapcsolatban használjuk, a geofencing kifejezés a rosszindulatú szoftver azon képességét jelöli, hogy csak bizonyos régiókat és demográfiai csoportokat támadjon meg, másokat elkerülve, mintha gyakorlatilag „elkerítené” őket. Ez általában olyan rosszindulatú szoftvereknél fordul elő, amelyek nem próbálják meg támadni az áldozatokat a származási területen vagy a fokozott biztonsági intézkedésekkel rendelkező régiókban.

Fertőzések elsősorban Nyugat-Európában

A kutatók által fertőzöttként azonosított eszközök és IP-k többsége Nyugat-Európában, elsősorban az Egyesült Királyságban és Olaszországban található, a fennmaradó fertőzések mindössze 2%-a más területeken.

A Check Point azzal a tanáccsal zárta az Android kártevőről szóló jelentését, amelyet mi is minden alkalommal megismételünk – csak „megbízható és ellenőrzött kiadóktól” származó alkalmazásokat telepítsen. Azonban ez már a második alkalom, amikor néhány hét leforgása alatt a hivatalos Google Play Áruházban megbúvó androidos kártevők kerültek a címlapokra, így ez a tanács, bár alapvetően megalapozott, nem lesz elég ahhoz, hogy minden felhasználót megvédjen minden fenyegetéstől.