据Security Affairs网站消息,Check Point Research (CPR) 团队的研究人员发布了谷歌官方 的报告Google Play 商店里发现了几个恶意 Android 应用程序伪装成防病毒软件,用于传播 SharkBot 银行木马。
Sharkbot 是攻击者用来窃取银行账户凭证的信息窃取程序,以及其他 Android 像银行木马一样使用 Android 的 Accessibility Service 在法定银行应用程序上显示虚假覆盖窗口,但Sharkbot 也用了 Android 恶意软件很少使用的域生成算法 (DGA),一旦安装在受害者的设备上,Sharkbot 会欺骗受害者在看起来像普通输入表的窗口输入他们的凭证。恶意软件还可以检查它是否在沙箱中运行,以防止被研究人员分析。
研究人员认为,SharkBot 的一个特点是可以自动回复 Facebook Messenger 和 WhatsApp 通知传播指向虚假防病毒应用的链接。
为了更有针对性,Sharkbot针对特定国家和地区的受害者,使用恶意代码实施规避技术和地理围栏功能,避免感染印度、罗马尼亚、俄罗斯和乌克兰的设备。
发现的六个虚假防病毒应用程序
研究人员发现,在 Google Play 在商店里,有6个看似正常的防病毒应用程序正在传播 Sharkbot,分别来自三个开发者- Zbynek Adamcik、Adelmio Pagnotto 和 Bingo Like Inc。当研究人员检查这些账户的历史记录时,发现其中两个在 2021 秋季活跃。其中一些与这些账户相关的应用程序账户已经从 开始Google Play 被删除,但仍存在于非官方市场。这可能意味着应用程序背后的攻击者仍试图保持低调,同时参与恶意活动。在删除一些应用程序之前,一些应用程序已经下载了1.5万多次,大多数受害者位于意大利和英国。
报告结束时,研究人员担心,如果今天是 Google Play 中出现新的防病毒应用程序,说不定就是披着羊皮的狼,成为传播恶意软件的载体。在如Sharkbot恶意软件本身并没有上传到 Google Play,而是通过中间链接伪装成合法软件。
参考来源:https://securityaffairs.co/wordpress/130021/malware/sharkbot-banking-trojan-google-play.html