大量伪装成Android文件管理器的恶意应用程序已招募了数千名用户Sharkbot银行木马感染了众多用户。这些应用程序在安装时不会携带恶意攻击载荷,以在提交到GooglePlay时逃避检测,但之后会从远程资源获取攻击载荷。由于这个木马化的应用程序是一个文件管理器,因此当它请求加载Sharkbot恶意软件的危险权限时不太可能引起怀疑。虚假文件管理器感染AndroidSharkbot是一种危险的恶意软件,它试图通过在银行应用程序的合法登录提示中显示虚假登录表单来窃取网上银行帐户。当用户尝试使用这些虚假表格登录他们的银行时,登录信息会被窃取并发送给威胁者。该恶意软件不断发展,以各种形式出现在Play商店中或从木马化应用程序加载。在安全公司Bitdefender的一份新报告中,分析师发现了伪装成文件管理器的新Android木马应用程序,并将其报告给了谷歌。所有这些恶意应用程序都已从GooglePlay商店中删除。但是,许多以前下载过木马化应用程序的用户可能仍然在手机上安装了这些应用程序,或者仍然遭受未检测到的残留恶意软件感染。第一个恶意应用程序是VictorSoftIceLLC的“X-FileManager”,在Google最终将其删除之前,该应用程序通过GooglePlay下载了10,000次。图1.GooglePlay上的X-FileManager(来源:Bitdefender)该应用程序执行反模拟检查以逃避检测,并且只会在英国或意大利的SIM卡中加载Sharkbot,因此它是攻击的一部分。恶意软件针对的移动银行应用程序列表如下所示,不过Bitdefender指出威胁参与者可以随时远程更新此列表。图2.此Sharkbot活动针对的银行(来源:Bitdefender)Bitdefender的遥测数据显示该活动的目标范围很窄,因为此Sharkbot攻击浪潮的大多数受害者在英国,其次是意大利、伊朗和德国。恶意应用程序向用户请求风险权限,例如读取和写入外部存储、安装新软件包、访问帐户详细信息和删除软件包(以清除痕迹)等。但是,这些权限在文件管理应用程序中看起来很正常并且符合预期,因此用户不太可能谨慎对待请求。Sharkbot作为虚假程序更新被获取,X-FileManager在安装前提示用户批准它。第二个安装银行木马的恶意应用程序是JuliaSoftIoLLC的“FileVoyager”,通过GooglePlay下载了5,000次。图3.GooglePlay上的FileVoyager(来源:Bitdefender)FileVoyager具有与X-FileManager相同的运营模式,针对意大利和英国的同一组金融机构。Bitdefender发现的另一个装有Sharkbot的应用程序是LiteCleanerM,在被发现并从Play商店中删除之前下载了1000次。目前,该应用只能通过APKSOS等第三方应用商店获得。第四个Sharkbot加载器名为“PhoneAID、Cleaner、Booster2.6”,可在同一第三方应用商店中获得。如果安装了这些应用程序,安卓用户应立即删除它们并更改他们使用的任何网上银行账户的密码。由于威胁行为者直接从GooglePlay分发这些应用程序,因此保护自己的最佳方法是启用PlayProtect服务以在检测到恶意应用程序时将其删除。此外,AndroidMobileSecurityAntivirus应用程序将有助于检测恶意流量和应用程序,甚至在它们被报告给GooglePlay之前。本文翻译自:https://www.bleepingcomputer.com/news/security/android-file-manager-apps-infect-thousands-with-sharkbot-malware/
