Sharkbot Android 恶意软件隐藏在 Google Play 上的假防病毒应用程序中

安全研究人员在 Google Play 官方商店中发现了另一批伪装成杀毒软件但带有恶意软件的应用程序。这些应用程序带有影响 Android 设备的Sharkbot银行恶意软件。

Check Point 的一个研究小组发现，假冒的防病毒应用程序在被删除之前被下载了大约 15,000 次。仅在 Check Point 向该公司发送警报后，Google 才下架了这些载有恶意软件的应用程序。

Sharkbot 使用不寻常的技术

恶意应用程序“至少有六个”，被设计成看起来像合法的移动安全和防病毒工具，但事实恰恰相反。这些应用程序包含 Sharkbot 窃取程序——一种用于窃取银行信息和凭证的 Android 恶意软件。

根据 Check Point 的说法，Sharkbot 有两个特点使其在 Android 恶意软件中脱颖而出。其中第一个是恶意软件使用域生成算法。这是指恶意软件偶尔生成多个不同域名的能力，然后将其用于将通信路由到其命令和控制服务器。

Android 恶意软件中通常看不到的第二个功能是 Sharkbot 使用的地理围栏。当用于恶意软件时，地理围栏是一个术语，用于表示恶意软件仅攻击某些地区和人口统计数据，避开其他地区的能力，就好像实际上“隔离”了它们一样。这在恶意软件中很常见，这些恶意软件不会尝试在其来源区域或安全措施加强的地区攻击受害者。

感染主要在西欧

大多数被研究人员确定为受感染的设备和 IP 位于西欧，主要位于英国和意大利境内，其余感染率仅占其他地区的 2%。

Check Point 在他们关于 Android 恶意软件的报告中总结了我们每次都附和的建议——只安装来自“受信任和经过验证的发布者”的应用程序。然而，这是潜伏在官方 Google Play 商店中的 Android 恶意软件在短短几周内第二次成为头条新闻，因此这个建议虽然从根本上说是合理的，但不足以保护每个用户免受所有威胁。