Falske antivirus-apps bruges til at sprede Sharkbot-mobilmalware

Sharkbot, en type bankmalware, blev opdaget i Google Play Butik og efterfølgende fjernet. Malwaren gemte sig i apps designet til at ligne mobile antivirus- og sikkerhedsløsninger.

En gruppe forskere med informationssikkerhedsfirmaet Check Point adskilte kampagnen, der presser Sharkbot på den officielle Google Play Butik. Ifølge forskerholdet nåede de falske antivirus-apps omkring 15 tusinde downloads, før de blev fjernet.

Sharkbot udvælger sine ofre

Holdet advarede Google om tilstedeværelsen af Sharkbot-malware inde i apps, og Google tog straks affære. Desværre bruger de malware-ladede apps nok tid i butikken til at samle et betydeligt antal downloads først.

Ifølge Check Point var mindst seks forskellige apps oppe i butikken og skubbede Sharkbot bank malware. Hvad der var lidt mere mærkeligt ved denne kampagne var et par funktioner brugt af hackerne. På den ene side brugte denne version af Sharkbot geofencing - den var konfigureret til specifikt at undgå at inficere enheder i specifikke regioner i verden.

Inficerede enheder for det meste i Storbritannien og Italien

Ud over geofencing inkluderede Sharkbot også en domænegenereringsalgoritme. Dette betyder effektivt, at malwaren var i stand til at generere store mængder af domænenavne, som derefter bruges til Sharkbots kommando- og kontrolservere.

De fleste af de enheder, som Sharkbot landede på gennem de falske antivirus-apps, var placeret i europæiske lande, specifikt Italien og Storbritannien. Enhederne blev identificeret gennem deres IP-adresser af forskerholdet.

Ulykkerne med malware, der stille og roligt glider på Google Play Butik på trods af bestræbelser på at gøre det til et helt sikkert sted, er altid ubehagelige. Det er heller ikke den første sag i år. Tidligere forblev malware-ladede apps i Play Butik i omkring en måned, før Google blev advaret og fjernede dem.