Sharkbot Android-malware skjuler seg i falske antivirusapper på Google Play
Sikkerhetsforskere har oppdaget enda et parti med apper i den offisielle Google Play-butikken som utga seg som antivirus, men som var full av skadelig programvare. Appene var blandet med Sharkbot bank malware som påvirker Android-enheter.
Et forskerteam med Check Point oppdaget at de falske antivirusappene ble lastet ned rundt 15 000 ganger før de ble fjernet. Google fjernet de malware-ladede appene først etter at Check Point sendte et varsel til selskapet.
Sharkbot bruker uvanlige teknikker
De ondsinnede appene var "minst seks" og ble designet for å se ut som legitime mobilsikkerhets- og antivirusverktøy, men realiteten var helt motsatt. Appene inneholdt Sharkbot-tyveren – en Android-stamme av malware, utviklet for å stjele bankinformasjon og legitimasjon.
Ifølge Check Point har Sharkbot to funksjoner som gjør den til en fremtredende blant Android-malware. Den første av dem er skadelig programvares bruk av en domenegenereringsalgoritme. Dette refererer til skadevarens evne til av og til å generere en rekke forskjellige domenenavn, som den deretter bruker for å dirigere kommunikasjon til sine kommando-og-kontrollservere.
Den andre funksjonen som vanligvis ikke sees i Android malware er geofencing Sharkbot bruker. Når det brukes i forhold til skadelig programvare, er geofencing begrepet som brukes for å betegne den ondsinnede programvarens evne til kun å angripe visse regioner og demografi, unngå andre, som om de praktisk talt "gjerder" dem. Dette er ofte sett med skadelig programvare som ikke prøver å angripe ofre i opprinnelsesområdet eller i regioner med økte sikkerhetstiltak.
Infeksjoner primært i Vest-Europa
Flertallet av enhetene og IP-ene identifisert som infisert av forskerne var lokalisert i Vest-Europa, primært i Storbritannia og Italia, med bare en 2% brøkdel av de gjenværende infeksjonene i andre territorier.
Check Point avsluttet sin rapport om Android-skadevare med rådene vi også gjentar hver gang – installer kun applikasjoner fra «pålitelige og verifiserte utgivere». Dette er imidlertid andre gang da Android-malware som lurer på den offisielle Google Play-butikken skapte overskrifter på bare noen få uker, så dette rådet, selv om det er fundamentalt godt, vil ikke være nok til å beskytte hver bruker mot enhver trussel.