Sharkbot Banking Trojan在Google Play上通过假AV应用程序传播

最后更新 :2022.04.09

专家在伪装成的谷歌戏剧商店上的恶意Android应用程序伪装成Sharkbot Trojan的防病毒解决方案。

检查点研究(CPR)团队的研究人员在伪装的官方谷歌播放商店发现了几个恶意Android应用程序作为用于提供Sharkbot Banking Trojan的防病毒解决方案。

Sharkbot是一个信息偷窃者窃取,用于骗子凭证和银行信息。恶意代码实现逃避技术,并使用地理围栏功能来避免感染来自中国,印度,罗马尼亚,俄罗斯,乌克兰和白俄罗斯的设备。

银行木匠使用域生成算法(DGA),这很少使用通过Android Malware。一旦安装在受害者设备上,Sharkbot就欺骗了受害者在看起来像普通输入形式的Windows中进入他们的凭据。

恶意软件也能够检查它是否是runniNG在沙盒中,以防止研究人员分析。

在谷歌播放商店中,我们共发现了六种不同的应用程序正在传播Sharkbot。阅读专家发布的分析。这六个申请来自三个开发人员账户,Zbynek Adamcik,Adelmio Pagnotto和Bingo喜欢公司。当我们检查了这些账户的历史时,我们看到其中的两个是在2021年秋季积极的。与这些账户相关的一些应用程序从Google Play中删除,但仍然存在于非官方市场。这可能意味着申请背后的演员正在试图留在雷达下,同时仍然参与恶意活动。

antivirus Android Google Play



误解的应用程序更多在谷歌从Google Play中删除它们之前,超过15,000次。大多数受害者都位于意大利和英国。 与其他Android银行木马,Sharkbot利用Androids可访问性服务显示假覆盖窗口在合法的银行应用程序上。 专家详述的Sharkbots特征之一是其能够自动回复Facebook Messenger和WhatsApp的通知,以传播到假防病毒应用程序的链接。 在不断变化的当代(网络)世界中,没有任何东西应该被视为理所当然。如果今天在Google播放中出现新的AV解决方案,则无法保证明天不会成为恶意软件传播威胁。这是我们用Sharkbot Malware观察的确切案例。结束了报告。在这种传播方案中,恶意软件本身不会上传到Google Play,而是中间链路是哪种伪装作为合法的软件。 请投票为安全事务作为最佳欧洲网络安全Blogger Awards 2022投票给您的获奖者在弱者最佳个人(非商业)安全博客和Tech Whiz最佳技术博客中投票给我你选择的其他人。提名,请访问: https://docs.google.com/forms/d/e/1faipqlsfxxriscimz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/view窗体

- END -

看更多