研究人员发现,Sharkbot这种信息窃取Android恶意软件在杀毒软件的掩护下潜伏在GooglePlayStore深处,给用户带来极大的危害。危险。事件起源于CheckPointResearch(CPR)团队在分析商店中的可疑应用程序时发现长期休眠的恶意软件。该软件伪装成防病毒解决方案,可以下载和安装恶意软件,并利用这种外观窃取用户的凭据、银行信息以及Android设备的许多其他独特功能。CPR研究人员AlexShamsur和RamanLadutska在周四发布的一份报告中表示:Sharkbot诱使受害者在模仿良性证书的链接窗口中输入证书信息,当用户在这些窗口中输入信息凭据时,相关数据将直接发送到恶意服务器.研究人员在检查期间发现了六种不同的应用程序,包括名为AtomClean-Booster、Antivirus、AntvirusSuperCleaner和CenterSecurity-Antivirus的应用程序。这些应用程序来自三个开发者帐户——ZbynekAdamcik、AdelmioPagnotto和BingoLikeInc.——其中至少两个帐户在去年秋天特别活跃。研究人员梳理的时间线还显示了他们的活动轨迹,因为Sharkbot于11月首次出现在研究人员的观察网络上。研究人员还表示:与这些账户关联的一些应用程序已从GooglePlay中删除,但仍存在于非官方市场中。这意味着这些恶意应用程序背后的参与者仍在试图从事恶意活动,因此我们需要时刻保持警惕。尽管谷歌已经删除了违规应用程序,但仍有约15,000人下载并安装了这些应用程序。其实从人群分布可以看出,主要目标还是和之前一样主要是英国和意大利的用户。Sharkbot的不同之处CPR研究人员表示,他们通过分析和观察Sharkbot的应用模式,发现Sharkbot不仅采用了典型的信息窃取策略,而且还具有不同于典型Android恶意软件的特征。研究人员认为,Sharkbot使用地理歧视功能,允许它根据地理区域选择用户,同时忽略来自中国、印度、罗马尼亚、俄罗斯、乌克兰或白俄罗斯的用户。同时,研究人员还指出,Sharkbot还有一些更灵活的技术。一方面,如果Sharkbot检测到自己运行在沙箱(计算机安全领域的一种安全运行程序的机制)中,它会停止执行并退出。Sharkbot的另一个独特标志是它使用域生成算法(DGA),这是一种在Android平台的恶意软件中很少使用的技术。使用DGA,研究人员每周能够生成七个域名,包括研究人员观察到的所有种子和算法,每周总共生成56个域名,或八种不同的算法组合。因此,研究人员在研究中观察了27个版本的Sharkbot,这些版本之间的主要区别在于它们具有不同的DGA种子以及不同的botnetID和ownerID字段。总而言之,Sharkbot能够发送22条命令,允许网络攻击者在用户的Android设备上执行各种恶意操作,包括:请求发送短信的权限;卸载下载的应用程序;将设备的联系人列表发送到服务器;禁用电池优化,以便Sharkbot可以在后台运行;并模仿用户在屏幕上的滑动。活动时间表CPR研究人员于2月25日首次在GooglePlay上发现了四个包含Sharkbotdropper的应用程序,并于3月3日向谷歌报告了他们的发现。谷歌在发现安全漏洞后于3月9日删除了这些应用程序,但另一个Sharkbotdropper六天后,也就是3月15日才被发现。而在3月22日和3月27日,又发现了两个Sharkbot木马病毒释放器,他们也迅速向谷歌报告,及时将其移除。研究人员表示,Sharkbot木马植入程序本身应该引起关注。他们争辩说,正如他们从投放器的功能中可以看出的那样,它们显然本身就构成了威胁,我们不能只是投放恶意软件。具体来说,研究人员发现GooglePlay上的Sharkbotdropper伪装成以下应用程序。com.abbondioendrizzi.tools[.]超级清洁器。com.abbondioendrizzi.antivirus.supercleaner。com.pagnotto28.sellsourcecode.alpha。com.pagnotto28.sellsourcecode.supercleaner。com.antivirus.centersecurity.freeforall。com.centersecurity.android.cleaner。研究人员指出,这些投放程序还具有一些独特的检测规避策略,例如检测模拟器并在找到模拟器后自动退出。他们还能够检查设备的所有用户界面并采取相应的操作,例如替换其他应用程序发送的通知。此外,研究人员补充说,Sharkbot可以安装在从CnC下载的APK(Android安装包)中,这也为用户在其设备上安装此类应用程序后立即传播恶意软件提供了一种便捷的方式。GooglePlay继续受到攻击谷歌长期以来一直在努力应对其Android应用商店中存在的恶意应用和恶意软件,并已做出重大努力来清理它。然而,一位安全专家表示,Sharkbot伪装成防病毒解决方案表明攻击者在如何隐藏平台上的恶意活动方面变得越来越老练,这种现象可能会损害用户对GooglePlay的信心。“恶意应用在应用审核过程中通过时间延迟、代码混淆、地理位置区分等方式隐藏其恶意功能,将使防御变得困难。网络攻击更具挑战性,潜伏在官方应用商店确实损害了用户对应用的信任。”谷歌平台上所有应用程序的安全性。他还认为,智能手机是人们数字生活的中心,也是财务、个人和工作活动的枢纽,任何危害此类中央设备安全的恶意软件都可能给用户造成重大经济损失或声誉损害。而另一位安全专家敦促Android用户在决定是否从信誉良好的供应商商店下载移动应用程序时要谨慎,即使它是一个值得信赖的品牌。KnowBe4安全意识倡导者JamesMcQuiggan提醒用户,在从各种技术商店安装应用程序时,最好在下载前对应用程序进行详细研究。因为网络犯罪分子喜欢诱骗用户安装具有隐藏功能的恶意应用程序,以试图窃取数据或接管帐户。本文翻译自:https://threatpost.com/google-play-bitten-sharkbot/179252/如有转载请注明原文地址。
