Falske antivirusapper som brukes til å spre Sharkbot mobil skadelig programvare

Sharkbot, en type bankskadelig programvare, ble oppdaget i Google Play Store og deretter fjernet. Skadevaren gjemte seg i apper designet for å se ut som mobile antivirus- og sikkerhetsløsninger.

En gruppe forskere med informasjonssikkerhetsfirmaet Check Point plukket fra hverandre kampanjen som presser Sharkbot på den offisielle Google Play-butikken. Ifølge forskerteamet klokket de falske antivirusappene rundt 15 tusen nedlastinger før de ble fjernet.

Sharkbot velger sine ofre

Teamet varslet Google om tilstedeværelsen av Sharkbot-malware inne i appene, og Google tok umiddelbart affære. Dessverre bruker de malware-ladede appene nok tid i butikken til å samle opp et betydelig antall nedlastinger først.

I følge Check Point var minst seks forskjellige apper oppe i butikken og presset på Sharkbots bankprogramvare. Det som var litt mer merkelig med denne kampanjen var et par funksjoner som ble brukt av hackerne. På den ene siden brukte denne versjonen av Sharkbot geofencing - den ble konfigurert for å spesifikt unngå å infisere enheter i bestemte regioner i verden.

Infiserte enheter hovedsakelig i Storbritannia og Italia

I tillegg til geofencing, inkluderte Sharkbot også en domenegenereringsalgoritme. Dette betyr effektivt at skadevare var i stand til å generere store volumer av domenenavn, som deretter brukes til Sharkbots kommando- og kontrollservere.

De fleste enhetene som Sharkbot landet på gjennom de falske antivirusappene var lokalisert i europeiske land, spesielt Italia og Storbritannia. Enhetene ble identifisert gjennom deres IP-adresser av forskerteamet.

Ulykkene med skadelig programvare som glir stille på Google Play-butikken til tross for forsøk på å gjøre det til et helt trygt sted, er alltid ubehagelige. Dette er heller ikke den første slike saken i år. Tidligere ble apper med skadelig programvare værende i Play-butikken i rundt en måned før Google ble varslet og fjernet dem.