Programul malware pentru Android Sharkbot se ascunde în aplicațiile antivirus false de pe Google Play

Cercetătorii în domeniul securității au descoperit încă un lot de aplicații pe Magazinul oficial Google Play care se prezentau drept antivirus, dar erau dotate cu malware. Aplicațiile au fost împletite cu malware bancar Sharkbot care afectează dispozitivele Android.

O echipă de cercetare cu Check Point a descoperit că aplicațiile antivirus false au fost descărcate de aproximativ 15.000 de ori înainte de a fi eliminate. Google a eliminat aplicațiile încărcate de malware numai după ce Check Point a trimis o alertă companiei.

Sharkbot folosește tehnici neobișnuite

Aplicațiile rău intenționate au fost „cel puțin șase” și au fost concepute pentru a arăta ca instrumente legitime de securitate mobilă și antivirus, dar realitatea a fost exact invers. Aplicațiile conțineau Sharkbot stealer - o tulpină de malware Android, dezvoltată pentru a fura informații bancare și acreditări.

Potrivit Check Point, Sharkbot are două caracteristici care îl fac remarcat printre programele malware Android. Prima dintre acestea este utilizarea de către malware a unui algoritm de generare a domeniului. Aceasta se referă la capacitatea malware-ului de a genera ocazional un număr de nume de domenii diferite, pe care apoi le folosește pentru rutarea comunicațiilor către serverele sale de comandă și control.

A doua caracteristică care de obicei nu este văzută în malware Android este geofencing-ul folosit de Sharkbot. Atunci când este folosit în relație cu programele malware, geofencing este termenul folosit pentru a desemna capacitatea software-ului rău intenționat de a ataca doar anumite regiuni și anumite categorii demografice, evitându-le pe altele, ca și cum le-ar „îngrădi” practic. Acest lucru este observat de obicei în cazul programelor malware care nu încearcă să atace victimele în zona sa de origine sau în regiunile cu măsuri de securitate sporite.

Infecții în principal în Europa de Vest

Majoritatea dispozitivelor și IP-urilor identificate ca fiind infectate de cercetători au fost localizate în Europa de Vest, în principal în Regatul Unit și Italia, cu doar o fracțiune de 2% din infecțiile rămase în alte teritorii.

Check Point și-a încheiat raportul despre malware-ul Android cu sfaturile pe care le dăm ecou de fiecare dată - instalați doar aplicații de la „editori de încredere și verificați”. Cu toate acestea, aceasta este a doua oară când malware-ul Android care pândește pe magazinul oficial Google Play a făcut titluri în doar câteva săptămâni, așa că acest sfat, deși fundamental solid, nu va fi suficient pentru a proteja fiecare utilizator de orice amenințare.