Hamis víruskereső alkalmazások Sharkbot Mobile rosszindulatú programok terjesztésére
A Sharkbotot, egyfajta banki kártevőt fedeztek fel a Google Play Áruházban, majd eltávolították. A rosszindulatú program olyan alkalmazásokban rejtőzött, amelyek úgy néztek ki, mint a mobil víruskereső és biztonsági megoldások.
A Check Point információbiztonsági cég kutatóinak egy csoportja szétválasztotta a Sharkbot kampányt a hivatalos Google Play Áruházban. A kutatócsoport szerint a hamis vírusirtó alkalmazások körülbelül 15 ezer letöltést értek el, mielőtt eltávolították őket.
A Sharkbot kiválasztja az áldozatait
A csapat figyelmeztette a Google-t a Sharkbot malware jelenlétéről az alkalmazásokban, és a Google azonnal intézkedett. Sajnos a rosszindulatú programokkal teli alkalmazások elegendő időt töltenek az áruházban ahhoz, hogy először jelentős számú letöltést gyűjtsenek össze.
A Check Point szerint legalább hat különböző alkalmazás volt fent az áruházban, és a Sharkbot banki rosszindulatú programját tolták. Ami egy kicsit furcsa volt ebben a kampányban, az a hackerek által használt néhány funkció. Egyrészt a Sharkbot ezen verziója geokerítést használt – úgy konfigurálták, hogy a világ bizonyos régióiban elkerülje az eszközök megfertőzését.
A fertőzött eszközök főleg az Egyesült Királyságban és Olaszországban vannak
A geofencing mellett a Sharkbot tartalmazott egy tartománygeneráló algoritmust is. Ez gyakorlatilag azt jelenti, hogy a kártevő nagy mennyiségű tartománynevet tudott generálni, amelyeket aztán a Sharkbot parancs- és vezérlőkiszolgálóihoz használ fel.
A legtöbb eszköz, amelyre a Sharkbot a hamis vírusirtó alkalmazásokon keresztül került, európai országokban, különösen Olaszországban és az Egyesült Királyságban található. Az eszközöket IP-címük alapján azonosította a kutatócsoport.
A rosszindulatú programokkal kapcsolatos balesetek, amelyek csendesen csúsznak a Google Play Áruházba, annak ellenére, hogy igyekeztek teljesen biztonságos helyet biztosítani, mindig kellemetlenek. Idén sem ez az első ilyen eset. Korábban a rosszindulatú programokkal teli alkalmazások körülbelül egy hónapig a Play Áruházban maradtak, mire a Google figyelmeztetést kapott és eltávolította őket.