Sharkbot Android Malware는 Google Play의 가짜 바이러스 백신 앱에 숨어 있습니다.
보안 연구원들은 공식 Google Play 스토어에서 바이러스 백신으로 위장했지만 맬웨어가 포함된 또 다른 앱 배치를 발견했습니다. 앱은 Android 기기에 영향을 미치는 Sharkbot 뱅킹 악성코드와 연결되었습니다.
Check Point의 연구팀은 가짜 백신 앱이 다운되기까지 약 15,000번 다운로드된 것을 발견했습니다. Google은 Check Point가 회사에 경고를 보낸 후에야 맬웨어가 포함된 앱을 중단했습니다.
Sharkbot은 특이한 기술을 사용합니다.
악성 앱은 "최소 6개"였으며 합법적인 모바일 보안 및 바이러스 백신 도구처럼 보이도록 설계되었지만 현실은 정반대였습니다. 앱에는 은행 정보 및 자격 증명을 훔치기 위해 개발된 Android 악성 코드인 Sharkbot 스틸러가 포함되어 있습니다.
Check Point에 따르면 Sharkbot은 Android 멀웨어 중에서 눈에 띄는 두 가지 기능을 가지고 있습니다. 그 중 첫 번째는 악성코드의 도메인 생성 알고리즘 사용입니다. 이것은 때때로 다양한 도메인 이름을 생성한 후 명령 및 제어 서버로 통신을 라우팅하는 데 사용하는 맬웨어의 능력을 나타냅니다.
일반적으로 Android 악성코드에서 볼 수 없는 두 번째 기능은 Sharkbot이 사용하는 지오펜싱입니다. 맬웨어와 관련하여 사용될 때 지오펜싱은 악성 소프트웨어가 특정 지역과 인구 통계만 공격하고 다른 지역은 피하는 능력을 나타내는 데 사용되는 용어입니다. 이는 발생 지역이나 보안 조치가 강화된 지역에서 피해자를 공격하지 않는 맬웨어 에서 흔히 볼 수 있습니다.
주로 서유럽에서 감염
연구원들에 의해 감염된 것으로 확인된 장치와 IP의 대부분은 주로 영국과 이탈리아 내부의 서유럽에 위치했으며 나머지 감염의 2%만이 다른 지역에 있었습니다.
Check Point는 "신뢰하고 검증된 게시자"의 애플리케이션만 설치하라는 조언으로 Android 맬웨어에 대한 보고서를 마무리했습니다. 그러나 공식 Google Play 스토어에 숨어 있는 Android 맬웨어가 단 몇 주 만에 헤드라인을 장식한 것은 이번이 두 번째이므로 이 조언은 기본적으로 건전하지만 모든 위협으로부터 모든 사용자를 보호하기에 충분하지 않습니다.