据安全事务网站报道,CheckPointResearch(CPR)团队的研究人员发布报告称,在谷歌官方GooglePlay商店中发现了数款恶意Android应用程序,应用程序伪装成杀毒软件,用于传播SharkBot银行木马。Sharkbot是攻击者用来窃取银行帐户凭据的信息窃取程序,与其他Android银行木马一样,它利用Android的辅助功能服务在合法银行应用程序之上显示虚假的覆盖窗口,但Sharkbot还使用很少使用的Android恶意软件Sharkbot的域生成算法(DGA)一旦安装在受害者的设备上,就会诱使受害者将其凭据输入到一个看起来像普通输入表单的窗口中。该恶意软件还会检查是否在沙箱中运行,以防止研究人员进行分析。研究人员认为,SharkBot的标志之一是它能够自动回复来自FacebookMessenger和WhatsApp的通知,以传播指向虚假防病毒应用程序的链接。为了更有针对性,Sharkbot利用恶意代码实施规避技术,并使用地理围栏功能针对特定国家和地区的受害者,避免感染来自印度、罗马尼亚、俄罗斯和乌克兰等地的设备。发现了六款假冒防病毒应用程序研究人员在GooglePlay商店中发现了总共六款看似良性的防病毒应用程序,这些应用程序由三位开发者(ZbynekAdamcik、AdelmioPagnotto和BingoLikeInc)传播Sharkbot。当研究人员检查这些帐户的历史记录时,其中两个是被发现在2021年秋季活跃。与这些帐户关联的一些应用程序帐户已从GooglePlay中删除,但仍存在于非官方市场中。这可能意味着该应用程序背后的攻击者在从事恶意活动时仍试图保持低调。在一些应用程序被删除之前,一些应用程序已经获得超过15,000次下载,并且大多数受害者位于意大利和英国。在报告的最后,研究人员担心,如果一款新的杀毒应用今天出现在GooglePlay中,它可能是披着羊皮的狼,成为传播恶意软件的载体。在Sharkbot这样的传播方案中,恶意软件本身并没有上传到GooglePlay,而是通过中间链接伪装成合法软件。参考来源:https://securityaffairs.co/wordpress/130021/malware/sharkbot-banking-trojan-google-play.html
