มัลแวร์ Sharkbot Android ซ่อนอยู่ในแอพ Antivirus ปลอมบน Google Play

นักวิจัยด้านความปลอดภัยได้ค้นพบแอพอีกชุดหนึ่งใน Google Play Store อย่างเป็นทางการซึ่งถูกวางตัวเป็นโปรแกรมป้องกันไวรัส แต่มีมัลแวร์แฝงอยู่ แอพดังกล่าวมีมัลแวร์ Sharkbot Banking ที่ส่งผลกระทบต่ออุปกรณ์ Android

ทีมวิจัยของ Check Point พบว่ามีการดาวน์โหลดแอปแอนตี้ไวรัสปลอมประมาณ 15,000 ครั้งก่อนที่จะถูกลบออก Google ลบแอพที่มีมัลแวร์หลังจาก Check Point ส่งการแจ้งเตือนไปยังบริษัทเท่านั้น

Sharkbot ใช้เทคนิคที่ไม่ธรรมดา

แอพที่เป็นอันตรายมี "อย่างน้อยหกตัว" และได้รับการออกแบบให้ดูเหมือนเครื่องมือรักษาความปลอดภัยมือถือและโปรแกรมป้องกันไวรัสที่ถูกต้องตามกฎหมาย แต่ความเป็นจริงค่อนข้างตรงกันข้าม แอพดังกล่าวมีตัวขโมย Sharkbot ซึ่งเป็นมัลแวร์ Android ที่พัฒนาขึ้นเพื่อขโมยข้อมูลธนาคารและข้อมูลรับรอง

ตามจุดตรวจสอบ Sharkbot มีคุณสมบัติสองประการที่ทำให้เป็นมัลแวร์ Android ที่โดดเด่น ประการแรกคือการใช้อัลกอริทึมการสร้างโดเมนของมัลแวร์ ซึ่งหมายถึงความสามารถของมัลแวร์ในการสร้างชื่อโดเมนต่างๆ เป็นครั้งคราว ซึ่งจะใช้สำหรับกำหนดเส้นทางการสื่อสารไปยังเซิร์ฟเวอร์สั่งการและควบคุม

คุณลักษณะที่สองที่มักไม่เห็นในมัลแวร์ Android คือ Sharkbot ใช้ geofencing เมื่อใช้กับมัลแวร์ geofencing เป็นคำที่ใช้เพื่อระบุความสามารถของซอฟต์แวร์ที่เป็นอันตรายในการโจมตีเฉพาะบางภูมิภาคและข้อมูลประชากร หลีกเลี่ยงส่วนอื่นๆ เสมือนว่า "ฟันดาบ" ออกจากกันอย่างแท้จริง ซึ่งมักพบใน มัลแวร์ ที่ไม่พยายามโจมตีผู้ที่ตกเป็นเหยื่อในพื้นที่ต้นทางหรือในภูมิภาคที่มีมาตรการรักษาความปลอดภัยที่เข้มงวดขึ้น

การติดเชื้อส่วนใหญ่ในยุโรปตะวันตก

อุปกรณ์และ IP ส่วนใหญ่ที่นักวิจัยระบุว่าติดไวรัสนั้นตั้งอยู่ในยุโรปตะวันตก ส่วนใหญ่อยู่ในสหราชอาณาจักรและอิตาลี โดยมีเพียง 2% ของการติดเชื้อที่เหลืออยู่ในพื้นที่อื่น

Check Point สรุปรายงานของพวกเขาเกี่ยวกับมัลแวร์ Android ด้วยคำแนะนำที่เราสะท้อนทุกครั้ง - ติดตั้งเฉพาะแอปพลิเคชันจาก "ผู้เผยแพร่ที่เชื่อถือได้และได้รับการยืนยัน" อย่างไรก็ตาม นี่เป็นครั้งที่สองที่มัลแวร์ Android ที่แฝงตัวอยู่ใน Google Play Store อย่างเป็นทางการกลายเป็นหัวข้อข่าวในเวลาเพียงไม่กี่สัปดาห์ ดังนั้นคำแนะนำนี้แม้จะฟังดูมีเหตุผล แต่ก็ไม่เพียงพอที่จะปกป้องผู้ใช้ทุกคนจากทุกภัยคุกคาม