Sharkbot Android Kötü Amaçlı Yazılım, Google Play'deki Sahte Antivirüs Uygulamalarında Gizleniyor

Güvenlik araştırmacıları, resmi Google Play Store'da antivirüs gibi görünen ancak kötü amaçlı yazılımlarla dolu başka bir uygulama grubu keşfetti. Uygulamalar, Android cihazları etkileyen Sharkbot bankacılık kötü amaçlı yazılımıyla bağlanmıştır.

Check Point'li bir araştırma ekibi, sahte antivirüs uygulamalarının kaldırılmadan önce yaklaşık 15.000 kez indirildiğini keşfetti. Google, kötü amaçlı yazılım yüklü uygulamaları ancak Check Point şirkete bir uyarı gönderdikten sonra kaldırdı.

Sharkbot alışılmadık teknikler kullanıyor

Kötü amaçlı uygulamalar "en az altı"ydı ve meşru mobil güvenlik ve antivirüs araçları gibi görünecek şekilde tasarlandı, ancak gerçek tam tersiydi. Uygulamalar, bankacılık bilgilerini ve kimlik bilgilerini çalmak için geliştirilmiş bir Android kötü amaçlı yazılım türü olan Sharkbot hırsızını içeriyordu.

Check Point'e göre, Sharkbot onu Android kötü amaçlı yazılımları arasında öne çıkaran iki özelliğe sahip. Bunlardan ilki, kötü amaçlı yazılımın bir etki alanı oluşturma algoritması kullanmasıdır. Bu, kötü amaçlı yazılımın ara sıra, daha sonra iletişimi komut ve kontrol sunucularına yönlendirmek için kullandığı bir dizi farklı alan adı oluşturma yeteneğini ifade eder.

Android kötü amaçlı yazılımlarında genellikle görülmeyen ikinci özellik, Sharkbot'un kullandığı geofencing özelliğidir. Kötü amaçlı yazılımlarla ilgili olarak kullanıldığında, coğrafi sınırlama, kötü amaçlı yazılımın yalnızca belirli bölgelere ve demografik özelliklere saldırma, diğerlerini sanal olarak "eskrim" yapıyormuş gibi kaçınma yeteneğini belirtmek için kullanılan bir terimdir. Bu, genellikle kendi menşei bölgesinde veya yüksek güvenlik önlemleri olan bölgelerde kurbanlara saldırmaya çalışmayan kötü amaçlı yazılımlarda görülür.

Enfeksiyonlar öncelikle Batı Avrupa'da

Araştırmacılar tarafından enfekte olduğu belirlenen cihazların ve IP'lerin çoğu, diğer bölgelerde kalan enfeksiyonların sadece %2'lik bir kısmı ile, başta Birleşik Krallık ve İtalya olmak üzere Batı Avrupa'da bulunuyordu.

Check Point, Android kötü amaçlı yazılımına ilişkin raporunu, her seferinde yinelediğimiz tavsiyeyle sonlandırdı - yalnızca "güvenilir ve doğrulanmış yayıncılardan" uygulamalar yükleyin. Ancak, bu, resmi Google Play Store'da gizlenen Android kötü amaçlı yazılımının yalnızca birkaç hafta içinde manşetlerde ikinci kez çıkmasıdır, bu nedenle bu tavsiye, temelde doğru olsa da, her kullanıcıyı her tehditten korumak için yeterli olmayacaktır.