Вредоносное ПО Sharkbot для Android прячется в поддельных антивирусных приложениях в Google Play

Исследователи безопасности обнаружили еще одну партию приложений в официальном магазине Google Play, которые выдавали себя за антивирус, но были пронизаны вредоносными программами. Приложения были пронизаны банковским вредоносным ПО Sharkbot , поражающим устройства Android.

Исследовательская группа Check Point обнаружила, что поддельные антивирусные приложения были загружены около 15 000 раз, прежде чем они были удалены. Google удалил загруженные вредоносным ПО приложения только после того, как Check Point отправил компании предупреждение.

Sharkbot использует необычные методы

Вредоносных приложений было «по крайней мере шесть», и они были разработаны так, чтобы выглядеть как законные средства мобильной безопасности и антивирусы, но на самом деле все было совсем наоборот. Приложения содержали стилер Sharkbot — вредоносное ПО для Android, разработанное для кражи банковской информации и учетных данных.

По данным Check Point, у Sharkbot есть две функции, которые выделяют его среди вредоносных программ для Android. Первый из них — использование вредоносной программой алгоритма генерации доменов. Это относится к способности вредоносной программы время от времени генерировать несколько разных доменных имен, которые затем используются для маршрутизации связи со своими серверами управления и контроля.

Вторая функция, которую обычно не замечают во вредоносных программах для Android, — это геозона, которую использует Sharkbot. Применительно к вредоносным программам геозона — это термин, используемый для обозначения способности вредоносного программного обеспечения атаковать только определенные регионы и демографические группы, избегая других, как бы фактически «отгораживая» их. Это обычно наблюдается с вредоносными программами , которые не пытаются атаковать жертв в своей области происхождения или в регионах с повышенными мерами безопасности.

Инфекции в основном в Западной Европе

Большинство устройств и IP-адресов, идентифицированных исследователями как зараженные, были расположены в Западной Европе, в основном в Великобритании и Италии, и лишь 2% оставшихся зараженных находятся на других территориях.

Check Point завершил свой отчет о вредоносном ПО для Android советом, который мы повторяем каждый раз — устанавливайте приложения только от «надежных и проверенных издателей». Тем не менее, это второй случай, когда вредоносное ПО для Android, скрывающееся в официальном магазине Google Play, попало в заголовки газет всего за несколько недель, поэтому этого совета, хотя и обоснованного, недостаточно для защиты каждого пользователя от всех угроз.