Sharkbot Android 惡意軟件隱藏在 Google Play 上的假防病毒應用程序中

安全研究人員在 Google Play 官方商店中發現了另一批偽裝成殺毒軟件但帶有惡意軟件的應用程序。這些應用程序帶有影響 Android 設備的Sharkbot銀行惡意軟件。

Check Point 的一個研究小組發現，假冒的防病毒應用程序在被刪除之前被下載了大約 15,000 次。僅在 Check Point 向該公司發送警報後，Google 才刪除了這些充滿惡意軟件的應用程序。

Sharkbot 使用不尋常的技術

惡意應用程序“至少有六個”，被設計成看起來像合法的移動安全和防病毒工具，但事實恰恰相反。這些應用程序包含 Sharkbot 竊取程序——一種用於竊取銀行信息和憑證的 Android 惡意軟件。

根據 Check Point 的說法，Sharkbot 有兩個功能使其在 Android 惡意軟件中脫穎而出。首先是惡意軟件使用域生成算法。這是指惡意軟件偶爾生成多個不同域名的能力，然後將其用於將通信路由到其命令和控制服務器。

Android 惡意軟件中通常看不到的第二個功能是 Sharkbot 使用的地理圍欄。當用於惡意軟件時，地理圍欄是一個術語，用於表示惡意軟件僅攻擊某些地區和人口統計數據，避開其他地區的能力，就好像實際上“隔離”了它們一樣。這在惡意軟件中很常見，這些惡意軟件不會嘗試在其來源區域或安全措施加強的地區攻擊受害者。

感染主要在西歐

大多數被研究人員確定為受感染的設備和 IP 位於西歐，主要位於英國和意大利境內，其餘感染率僅佔其他地區的 2%。

Check Point 在他們關於 Android 惡意軟件的報告中總結了我們每次都附和的建議——只安裝來自“受信任和經過驗證的發布者”的應用程序。然而，這是潛伏在官方 Google Play 商店中的 Android 惡意軟件在短短幾週內第二次成為頭條新聞，因此這個建議雖然從根本上說是合理的，但不足以保護每個用戶免受所有威脅。