Sharkbot Android Malware se skriva v lažnih protivirusnih aplikacijah v Googlu Play

Varnostni raziskovalci so v uradni trgovini Google Play odkrili še eno serijo aplikacij, ki so se predstavljale kot protivirusni, vendar so bile prepletene z zlonamerno programsko opremo. Aplikacije so bile prepletene z zlonamerno programsko opremo za bančništvo Sharkbot , ki je vplivala na naprave Android.

Raziskovalna skupina s Check Pointom je odkrila, da so bile lažne protivirusne aplikacije prenesene približno 15.000-krat, preden so jih odstranili. Google je odstranil aplikacije, obremenjene z zlonamerno programsko opremo, šele potem, ko je Check Point podjetju poslal opozorilo.

Sharkbot uporablja nenavadne tehnike

Zlonamernih aplikacij je bilo »vsaj šest« in so bile zasnovane tako, da so bile videti kot zakonita mobilna varnostna in protivirusna orodja, vendar je bila realnost ravno nasprotna. Aplikacije so vsebovale kradljivko Sharkbot - vrsto zlonamerne programske opreme za Android, ki je bila razvita za krajo bančnih podatkov in poverilnic.

Glede na Check Point ima Sharkbot dve funkciji, zaradi katerih izstopa med zlonamerno programsko opremo Android. Prva od teh je uporaba algoritma za generiranje domene z zlonamerno programsko opremo. To se nanaša na zmožnost zlonamerne programske opreme, da občasno ustvari več različnih imen domen, ki jih nato uporabi za usmerjanje komunikacije do svojih strežnikov za ukaze in nadzor.

Druga značilnost, ki je običajno ne opazimo pri zlonamerni programski opremi za Android, je geofencing, ki jo uporablja Sharkbot. Ko se uporablja v zvezi z zlonamerno programsko opremo, je geofencing izraz, ki se uporablja za označevanje zmožnosti zlonamerne programske opreme, da napade samo določene regije in demografske podatke, pri čemer se izogiba drugim, kot da bi jih praktično "ograjeval". To je običajno opaziti pri zlonamerni programski opremi , ki ne poskuša napadati žrtev na svojem izvornem območju ali v regijah s poostrenimi varnostnimi ukrepi.

Okužbe predvsem v zahodni Evropi

Večina naprav in IP-jev, ki so jih raziskovalci identificirali kot okužene, se nahaja v zahodni Evropi, predvsem v Združenem kraljestvu in Italiji, le 2 % preostalih okužb pa na drugih ozemljih.

Check Point je svoje poročilo o zlonamerni programski opremi za Android zaključil z nasvetom, ki ga tudi vsakič ponovimo – nameščajte samo aplikacije "zaupanja vrednih in preverjenih založnikov". Vendar je to že drugič, ko je zlonamerna programska oprema za Android, ki se skriva v uradni trgovini Google Play, v le nekaj tednih prišla na naslovnice, zato ta nasvet, čeprav v osnovi utemeljen, ne bo dovolj za zaščito vsakega uporabnika pred vsako grožnjo.