Google fjernede seks forskellige ondsindede Android-applikationer rettet mod primært brugere i Storbritannien og Italien, som blev installeret omkring 15,000 gange.
Forskere har fundet den informationstjælende Android-malware Sharkbot, der lurer uanet i dybet af Google Play-butikken under dække af antivirus-løsninger (AV).
Mens de analyserede mistænkelige applikationer i butikken, fandt Check Point Research (CPR)-teamet, hvad der foregav at være ægte AV-løsninger, der downloader og installerer malwaren, som stjæler legitimationsoplysninger og bankoplysninger fra Android-enheder, men som også har en række andre unikke funktioner.
"Sharkbot lokker ofre til at indtaste deres legitimationsoplysninger i vinduer, der efterligner godartede legitimationsoplysninger," skrev CPR-forskere Alex Shamsur og Raman Ladutska i en indberette offentliggjort torsdag. "Når brugeren indtaster legitimationsoplysninger i disse vinduer, sendes de kompromitterede data til en ondsindet server."
Forskere opdagede seks forskellige applikationer – inklusive dem ved navn Atom Clean-Booster, Antivirus; Antvirus Super Cleaner; og Center Security-Antivirus – spreder Sharkbot. Apps kom fra tre udviklerkonti – Zbynek Adamcik, Adelmio Pagnotto og Bingo Like Inc. – hvoraf mindst to var aktive i efteråret sidste år. Tidslinjen giver mening, som Sharkbot kom først ind på forskeres radarskærme i november.
"Nogle af de applikationer, der er knyttet til disse konti, blev fjernet fra Google Play, men eksisterer stadig på uofficielle markeder," skrev forskere. "Dette kan betyde, at aktøren bag applikationerne forsøger at holde sig under radaren, mens han stadig er involveret i ondsindet aktivitet."
Google fjernede de stødende applikationer, men ikke før de blev downloadet og installeret omkring 15,000 gange, sagde forskere. Primære mål for Sharkbot er brugere i Storbritannien og Italien, som det tidligere var tilfældet, sagde de.
Unikke aspekter
HLR-forskere kiggede under hætten på Sharkbot og afslørede ikke kun typiske info-tyveri-taktik, men også nogle karakteristika, der adskiller det fra typisk Android-malware, sagde forskere. Det inkluderer en geofencing-funktion, der vælger brugere baseret på geografiske områder, og ignorerer brugere fra Kina, Indien, Rumænien, Rusland, Ukraine eller Belarus, sagde de.
Sharkbot kan også prale af nogle smarte teknikker, bemærkede forskere. "Hvis malwaren opdager, at den kører i en sandkasse, stopper den udførelsen og stopper," skrev de.
Et andet unikt kendetegn ved malwaren er, at den gør brug af Domain Generation Algorithm (DGA), et aspekt, der sjældent bruges i malware til Android-platformen, sagde forskere.
"Med DGA genererer en prøve med et hårdkodet frø syv domæner om ugen," skrev de. "Inklusive alle de frø og algoritmer, vi har observeret, er der i alt 56 domæner om ugen, dvs. 8 forskellige kombinationer af frø/algoritmer."
Forskere observerede 27 versioner af Sharkbot i deres forskning; den største forskel mellem versioner var forskellige DGA-seeds samt forskellige botnetID- og ejerID-felter, sagde de.
Alt i alt implementerer Sharkbot 22 kommandoer, der gør det muligt at udføre forskellige ondsindede handlinger på en brugers Android-enhed, herunder: at anmode om tilladelse til at sende SMS-beskeder; afinstallation af en given applikation; afsendelse af enhedens kontaktliste til en server; deaktivering af batterioptimering, så Sharkbot kan køre i baggrunden; og efterligning af brugerens swipe over skærmen.
Tidslinje for aktivitet
Forskere opdagede først fire applikationer af Sharkbot Dropper på Google Play den 25. februar og kort derefter rapporterede deres resultater til Google den 3. marts. Google fjernede applikationerne den 9. marts, men så blev en anden Sharkbot dropper opdaget seks dage senere, den 15. marts.
CPR rapporterede, at den tredje dropper blev opdaget med det samme og fandt derefter yderligere to Sharkbot-dråber den 22. marts og den 27. marts, som de også rapporterede hurtigt til Google med henblik på fjernelse.
Dråberne, hvormed Sharkbot spredes i sig selv, burde vække bekymring, sagde forskere. "Som vi kan bedømme ud fra funktionaliteten af dropperne, udgør deres muligheder klart en trussel i sig selv, ud over blot at droppe malwaren," skrev de i rapporten.
Specifikt fandt forskerne, at Sharkbot-dråberen maskerede sig som følgende applikationer på Google Play;
- com.abbondioendrizzi.tools[.]supercleaner
- com.abbondioendrizzi.antivirus.supercleaner
- com.pagnotto28.sellsourcecode.alpha
- com.pagnotto28.sellsourcecode.supercleaner
- com.antivirus.centersecurity.freeforall
- com.centersecurity.android.cleaner
Dråberne har også et par af deres egne undvigelsestaktikker, såsom at opdage emulatorer og holde op, hvis en bliver fundet, bemærkede forskere. De er også i stand til at inspicere og handle på alle UI-hændelser på enheden samt erstatte meddelelser sendt af andre applikationer.
"Desuden kan de installere en APK, der er downloadet fra CnC, som giver et praktisk udgangspunkt for at sprede malwaren, så snart brugeren installerer en sådan applikation på enheden," tilføjede forskere.
Google Play Under Fire
Google har længe kæmpet med vedvarende ondsindede applikationer og malware på sin Android app-butik og har gjort en betydelig indsats for at rydde op i sin handling.
Fremkomsten af Sharkbot forklædt som AV-løsninger viser dog, at angribere bliver mere snedige i, hvordan de skjuler deres ondsindede aktivitet på platformen, og det kan skade brugernes tillid til Google Play, bemærkede en sikkerhedsekspert.
"Malware-apps, der skjuler deres ondsindede funktionalitet med tidsforsinkelser, kodesløring og geofencing, kan være udfordrende at opdage under appgennemgangsprocessen, men den regelmæssighed, som de opdages lurer i officielle app-butikker, skader virkelig brugernes tillid til sikkerheden af alle apps på platformen,” bemærkede Chris Clements, vicepræsident for løsningsarkitektur hos sikkerhedsfirmaet Cerberus Sentinel, i en e-mail til Threatpost.
Med smartphonen i centrum for folks digitale liv og handlinger som et knudepunkt for økonomisk, personlig og arbejdsmæssig aktivitet, "kan enhver malware, der kompromitterer sikkerheden på en sådan central enhed, gøre betydelig økonomisk eller omdømmeskade," tilføjede han.
En anden sikkerhedsprofessionel opfordrede Android-brugere til forsigtighed, når de beslutter sig for, om de vil downloade en mobilapp fra en velrenommeret leverandørs butik, selvom det er et betroet mærke.
"Når du installerer apps fra forskellige teknologibutikker, er det bedst at undersøge appen, før du downloader den," bemærkede James McQuiggan, fortaler for sikkerhedsbevidsthed hos KnowBe4. "Cyberkriminelle elsker at narre brugere til at installere ondsindede apps med skjulte funktioner i et forsøg på at stjæle data eller overtage konti."
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Kaspersky
- malware
- Mcafee
- mobil Sikkerhed
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VPN
- website sikkerhed
- zephyrnet
