Sharkbot Android Malware ukrywa się w fałszywych aplikacjach antywirusowych w Google Play

Badacze bezpieczeństwa odkryli w oficjalnym sklepie Google Play kolejną partię aplikacji, które podszywały się pod programy antywirusowe, ale zawierały złośliwe oprogramowanie. Aplikacje zawierały szkodliwe oprogramowanie bankowe Sharkbot, które atakowało urządzenia z systemem Android.

Zespół badawczy z Check Point odkrył, że fałszywe aplikacje antywirusowe zostały pobrane około 15 000 razy, zanim zostały usunięte. Google usunął aplikacje wyładowane złośliwym oprogramowaniem dopiero po tym, jak Check Point wysłał alert do firmy.

Sharkbot używa nietypowych technik

Złośliwych aplikacji było „co najmniej sześć” i zostały zaprojektowane tak, aby wyglądały jak legalne narzędzia zabezpieczające i antywirusowe dla urządzeń mobilnych, ale w rzeczywistości było zupełnie odwrotnie. Aplikacje zawierały złodzieja Sharkbota — odmianę złośliwego oprogramowania dla systemu Android, opracowanego w celu kradzieży informacji bankowych i danych uwierzytelniających.

Według firmy Check Point Sharkbot ma dwie cechy, które wyróżniają go spośród złośliwego oprogramowania na Androida. Pierwszym z nich jest wykorzystanie przez szkodliwe oprogramowanie algorytmu generowania domen. Odnosi się to do zdolności szkodliwego oprogramowania do okazjonalnego generowania wielu różnych nazw domen, które następnie wykorzystuje do kierowania komunikacji do swoich serwerów dowodzenia i kontroli.

Drugą cechą, której zazwyczaj nie widać w złośliwym oprogramowaniu na Androida, jest geofencing, którego używa Sharkbot. W odniesieniu do złośliwego oprogramowania geofencing jest terminem używanym do określenia zdolności złośliwego oprogramowania do atakowania tylko określonych regionów i grup demograficznych, unikając innych, tak jakby praktycznie je „ogradzał”. Jest to często spotykane w przypadku złośliwego oprogramowania, które nie próbuje atakować ofiar w swoim obszarze pochodzenia lub w regionach o podwyższonych środkach bezpieczeństwa.

Infekcje głównie w Europie Zachodniej

Większość urządzeń i adresów IP zidentyfikowanych jako zainfekowane przez naukowców znajdowała się w Europie Zachodniej, głównie w Wielkiej Brytanii i we Włoszech, z zaledwie 2% ułamkiem pozostałych infekcji na innych terytoriach.

Check Point zakończył swój raport na temat złośliwego oprogramowania na Androida radą, którą za każdym razem powtarzamy – instaluj tylko aplikacje od „zaufanych i zweryfikowanych wydawców”. Jest to jednak drugi raz, kiedy złośliwe oprogramowanie na Androida czające się w oficjalnym sklepie Google Play trafiło na pierwsze strony gazet w ciągu zaledwie kilku tygodni, więc ta rada, choć zasadniczo słuszna, nie wystarczy, aby chronić każdego użytkownika przed każdym zagrożeniem.