Sharkbotモバイルマルウェアの拡散に使用される偽のウイルス対策アプリ

銀行のマルウェアの一種であるSharkbotは、Google Playストアで発見され、その後削除されました。このマルウェアは、モバイルのウイルス対策およびセキュリティソリューションのように見えるように設計されたアプリに隠れていました。

情報セキュリティ会社のチェックポイントの研究者グループが、公式のGooglePlayストアでSharkbotをプッシュするキャンペーンを取り上げました。調査チームによると、偽のウイルス対策アプリは、削除される前に約15,000回のダウンロードを記録しました。

Sharkbotが犠牲者を選ぶ

チームはアプリ内にSharkbotマルウェアが存在することをグーグルに警告し、グーグルは即座に行動を起こしました。悲しいことに、マルウェアを含むアプリは、最初にかなりの数のダウンロードを獲得するのに十分な時間をストアで費やします。

チェックポイントによると、少なくとも6つの異なるアプリがストアにあり、Sharkbotバンキングマルウェアをプッシュしていました。このキャンペーンでもう少し奇妙だったのは、ハッカーが使用したいくつかの機能でした。一方では、このバージョンのSharkbotはジオフェンスを使用していました。これは、世界の特定の地域のデバイスへの感染を特に回避するように構成されていました。

主に英国とイタリアで感染したデバイス

ジオフェンスに加えて、Sharkbotにはドメイン生成アルゴリズムも含まれていました。これは事実上、マルウェアが大量のドメイン名を生成でき、それがSharkbotのコマンドアンドコントロールサーバーに使用されたことを意味します。

Sharkbotが偽のウイルス対策アプリを介して着陸したデバイスのほとんどは、ヨーロッパ諸国、特にイタリアと英国にありました。デバイスは、調査チームによってIPアドレスを介して識別されました。

完全に安全なスペースにするための努力にもかかわらず、マルウェアがGooglePlayストアで静かに滑る事故は常に不快です。今年もこのようなケースはこれが初めてではありません。以前は、マルウェアを含むアプリは、Googleに警告されて削除されるまで、約1か月間Playストアに残っていました。