Falska antivirusappar som används för att sprida skadlig programvara för mobil Sharkbot

Sharkbot, en typ av bankskadlig programvara, upptäcktes i Google Play Butik och togs sedan bort. Skadlig programvara gömde sig i appar utformade för att se ut som mobila antivirus- och säkerhetslösningar.

En grupp forskare med informationssäkerhetsföretaget Check Point plockade isär kampanjen som driver Sharkbot på den officiella Google Play Store. Enligt forskargruppen klockade de falska antivirusapparna cirka 15 tusen nedladdningar innan de togs ner.

Sharkbot väljer sina offer

Teamet varnade Google om förekomsten av Sharkbot-skadlig programvara i apparna och Google vidtog omedelbart åtgärder. Tyvärr spenderar de malware-laddade apparna tillräckligt med tid i butiken för att samla ett betydande antal nedladdningar först.

Enligt Check Point fanns minst sex olika appar uppe i butiken och drev Sharkbots bankprogram. Det som var lite mer konstigt med den här kampanjen var ett par funktioner som hackarna använde. Å ena sidan använde denna version av Sharkbot geofencing - den var konfigurerad för att specifikt undvika att infektera enheter i specifika regioner i världen.

Infekterade enheter mestadels i Storbritannien och Italien

Förutom geofencing inkluderade Sharkbot även en domängenereringsalgoritm. Detta innebär i praktiken att skadlig programvara kunde generera stora volymer domännamn, som sedan används för Sharkbots kommando- och kontrollservrar.

De flesta enheter som Sharkbot landade på genom de falska antivirusapparna fanns i europeiska länder, särskilt Italien och Storbritannien. Enheterna identifierades genom sina IP-adresser av forskargruppen.

Olyckorna med skadlig programvara som glider tyst på Google Play Butik trots ansträngningar att göra det till ett helt säkert utrymme är alltid obehagliga. Det här är inte det första fallet i år heller. Tidigare fanns appar med skadlig programvara kvar i Play Butik i ungefär en månad innan Google larmades och tog bort dem.