Sharkbot Android-malware verbergt zich in valse antivirus-apps op Google Play
Beveiligingsonderzoekers hebben weer een nieuwe reeks apps ontdekt in de officiële Google Play Store die zich voordeed als antivirus, maar doorspekt met malware. De apps waren doorspekt met de Sharkbot banking-malware die Android-apparaten aantast.
Een onderzoeksteam van Check Point ontdekte dat de nep-antivirus-apps ongeveer 15.000 keer waren gedownload voordat ze werden verwijderd. Google heeft de met malware beladen apps pas verwijderd nadat Check Point een waarschuwing naar het bedrijf had gestuurd.
Sharkbot gebruikt ongebruikelijke technieken
De kwaadaardige apps waren "minstens zes" en waren ontworpen om eruit te zien als legitieme mobiele beveiligings- en antivirusprogramma's, maar de realiteit was precies het tegenovergestelde. De apps bevatten de Sharkbot-stealer - een Android-malware die is ontwikkeld om bankgegevens en inloggegevens te stelen.
Volgens Check Point heeft Sharkbot twee functies waardoor het een opvallende verschijning is onder de Android-malware. De eerste daarvan is het gebruik door de malware van een algoritme voor het genereren van domeinen. Dit verwijst naar het vermogen van de malware om af en toe een aantal verschillende domeinnamen te genereren, die het vervolgens gebruikt voor het routeren van communicatie naar zijn command-and-control-servers.
De tweede functie die meestal niet wordt gezien in Android-malware, is de geofencing die Sharkbot gebruikt. Wanneer gebruikt in relatie tot malware, is geofencing de term die wordt gebruikt om het vermogen van de kwaadaardige software aan te duiden om alleen bepaalde regio's en demografische gegevens aan te vallen en andere te vermijden, alsof ze ze virtueel "afschermen". Dit wordt vaak gezien bij malware die niet probeert slachtoffers aan te vallen in het gebied van herkomst of in regio's met verhoogde veiligheidsmaatregelen.
Infecties voornamelijk in West-Europa
De meeste apparaten en IP's die door de onderzoekers als geïnfecteerd werden geïdentificeerd, bevonden zich in West-Europa, voornamelijk in het Verenigd Koninkrijk en Italië, met slechts een fractie van 2% van de resterende infecties in andere gebieden.
Check Point sloot hun rapport over de Android-malware af met het advies dat we ook elke keer herhalen: installeer alleen applicaties van "vertrouwde en geverifieerde uitgevers". Dit is echter de tweede keer dat Android-malware die op de loer ligt in de officiële Google Play Store in slechts een paar weken de krantenkoppen haalde, dus dit advies, hoewel fundamenteel gezond, zal niet voldoende zijn om elke gebruiker tegen elke bedreiging te beschermen.