A Google eltávolított hat különböző rosszindulatú Android-alkalmazást, amelyek főként az Egyesült Királyságban és Olaszországban élő felhasználókat célozták meg, és amelyeket körülbelül 15,000 XNUMX alkalommal telepítettek.
A kutatók a Google Play áruház mélyén vírusirtó (AV) megoldások leple alatt találták meg gyanútlanul az információlopó androidos kártevőt, a Sharkbotot.
Az áruházban található gyanús alkalmazások elemzése során a Check Point Research (CPR) csapata azt találta, hogy állítólag valódi AV-megoldások töltik le és telepítik a kártevőt, amely hitelesítő adatokat és banki információkat lop el Android-eszközökről, de számos más egyedi funkcióval is rendelkezik.
"A Sharkbot ráveszi az áldozatokat, hogy olyan ablakokban adják meg hitelesítő adataikat, amelyek utánozzák a jóindulatú hitelesítő adatbeviteli formákat" - írták Alex Shamsur és Raman Ladutska CPR-kutatók. jelentést csütörtökön jelent meg. "Amikor a felhasználó megadja a hitelesítő adatokat ezekben az ablakokban, a feltört adatok egy rosszindulatú szerverre kerülnek."
A kutatók hat különböző alkalmazást fedeztek fel – köztük az Atom Clean-Booster, Antivirus; Antivirus Super Cleaner; és a Center Security-Antivirus – a Sharkbot terjesztése. Az alkalmazások három fejlesztői fióktól származtak – Zbynek Adamcik, Adelmio Pagnotto és Bingo Like Inc. –, amelyek közül legalább kettő aktív volt tavaly őszén. Az idővonalnak van értelme, mint a Sharkbot először a kutatók radarképernyők novemberben.
„Az ezekhez a fiókokhoz kapcsolódó alkalmazások egy részét eltávolították a Google Playről, de továbbra is léteznek a nem hivatalos piacokon” – írták a kutatók. "Ez azt jelentheti, hogy az alkalmazások mögött álló szereplő megpróbál a radar alatt maradni, miközben továbbra is rosszindulatú tevékenységben vesz részt."
A Google eltávolította a jogsértő alkalmazásokat, de nem azelőtt, hogy körülbelül 15,000 XNUMX alkalommal letöltötték és telepítették volna őket. A Sharkbot elsődleges célpontjai az Egyesült Királyságban és Olaszországban tartózkodó felhasználók, ahogyan korábban is történt.
Egyedi szempontok
A CPR kutatói a Sharkbot burkolata alá pillantottak, és nem csak a tipikus információlopási taktikákat fedezték fel, hanem néhány olyan jellemzőt is, amelyek megkülönböztetik a tipikus androidos rosszindulatú szoftverektől. Tartalmaz egy geokerítés funkciót, amely földrajzi területek alapján választja ki a felhasználókat, figyelmen kívül hagyva a kínai, indiai, romániai, orosz, ukrajnai vagy fehérorosz felhasználókat.
A Sharkbot néhány okos technikával is büszkélkedhet, jegyezték meg a kutatók. „Ha a kártevő észleli, hogy homokozóban fut, leállítja a végrehajtást és kilép” – írták.
A rosszindulatú program másik egyedi jellemzője az, hogy a Domain Generation Algorithm (DGA) alkalmazást használja, amelyet ritkán használnak az Android platformon futó rosszindulatú programokban.
„A DGA-val egy keménykódolt maggal rendelkező minta hét domaint generál hetente” – írták. „Az összes megfigyelt maggal és algoritmussal együtt hetente összesen 56 tartomány van, azaz 8 különböző mag/algoritmus kombináció.”
A kutatók a Sharkbot 27 változatát figyelték meg kutatásaik során; A fő különbség a verziók között a különböző DGA-magok, valamint a különböző botnetID és tulajdonosazonosító mezők voltak – mondták.
Összességében a Sharkbot 22 parancsot valósít meg, amelyek lehetővé teszik különböző rosszindulatú műveletek végrehajtását a felhasználó Android-eszközén, beleértve: engedélykérés SMS-üzenetek küldésére; adott alkalmazások eltávolítása; az eszköz névjegyzékének elküldése egy szerverre; az akkumulátor optimalizálás letiltása, hogy a Sharkbot a háttérben futhasson; és utánozza a felhasználó ujját a képernyőn.
A tevékenység idővonala
A kutatók először február 25-én fedezték fel a Sharkbot Dropper négy alkalmazását a Google Playen, majd nem sokkal ezután, március 3-án jelentették az eredményeket a Google-nak. A Google március 9-én eltávolította az alkalmazásokat, de hat nappal később, március 15-én egy másik Sharkbot cseppentőt fedeztek fel.
A CPR bejelentette a harmadik, azonnal felfedezett cseppentőt, majd talált még két Sharkbot cseppentőt március 22-én és március 27-én, amelyeket szintén gyorsan bejelentettek a Google-nak eltávolítás céljából.
A kutatók szerint a csepegtetők, amelyekkel a Sharkbot önmagában terjed, aggodalomra ad okot. "Amint azt a cseppentő funkcionalitása alapján megítélhetjük, lehetőségeik egyértelműen önmagukban is veszélyt jelentenek a kártevő eldobásán túl" - írták a jelentésben.
A kutatók konkrétan azt találták, hogy a Sharkbot cseppentő a következő alkalmazásoknak álcázva magát a Google Playen;
- com.abbondioendrizi.tools[.]supercleaner
- com.abbondioendrizi.antivirus.supercleaner
- com.pagnotto28.sellsourcecode.alpha
- com.pagnotto28.sellsourcecode.supercleaner
- com.antivirus.centersecurity.freeforall
- com.centersecurity.android.cleaner
A cseppentőknek van néhány saját kijátszási taktikájuk is, mint például az emulátorok észlelése és a kilépés, ha találnak ilyet, jegyezték meg a kutatók. Ezenkívül képesek ellenőrizni és végrehajtani az eszköz összes felhasználói felületi eseményét, valamint helyettesíthetik a más alkalmazások által küldött értesítéseket.
"Emellett telepíthetnek egy CnC-ről letöltött APK-t is, amely kényelmes kiindulópontot biztosít a kártevő terjesztéséhez, amint a felhasználó ilyen alkalmazást telepít az eszközre" - tették hozzá a kutatók.
Google Play Under Fire
A Google-nak sokáig küzdött a rosszindulatú alkalmazások fennmaradásával és malware Android-alkalmazásboltjában, és jelentős erőfeszítéseket tett annak tisztázása érdekében.
Az AV-megoldásoknak álcázott Sharkbot megjelenése azonban azt mutatja, hogy a támadók egyre furcsábban rejtik el rosszindulatú tevékenységeiket a platformon, és ronthatják a felhasználók Google Playbe vetett bizalmát – jegyezte meg egy biztonsági szakember.
„Az olyan rosszindulatú programokat, amelyek időkésleltetéssel, kódzavarral és geofencinggel rejtik el rosszindulatú funkcionalitásukat, nehéz lehet felismerni az alkalmazás-ellenőrzési folyamat során, de a hivatalos alkalmazásboltokban való felfedezésük rendszeressége valóban rontja a felhasználók bizalmát az összes alkalmazás biztonságában. a platform” – jegyezte meg Chris Clements, a biztonsági cég megoldási architektúrájáért felelős alelnöke Cerberus Sentinel, a Threatpostnak küldött e-mailben.
Mivel az okostelefon az emberek digitális életének középpontjában áll, és az aktin a pénzügyi, személyes és munkahelyi tevékenységek központja, „bármely rosszindulatú program, amely veszélyezteti egy ilyen központi eszköz biztonságát, jelentős anyagi vagy hírnév-károsodást okozhat” – tette hozzá.
Egy másik biztonsági szakember óvatosságra intette az Android-felhasználókat, amikor eldöntik, hogy letöltsenek-e mobilalkalmazást egy jó hírű gyártó üzletéből, még akkor is, ha az egy megbízható márka.
„Ha különféle technológiai üzletekből telepít alkalmazásokat, a legjobb, ha az alkalmazást letölti, mielőtt letöltené” – jegyezte meg James McQuiggan, a biztonsági tudatosság szószólója. KnowBe4. "A kiberbűnözők előszeretettel csalják rá a felhasználókat, hogy rosszindulatú alkalmazásokat telepítsenek rejtett funkciókkal, hogy megkíséreljenek adatokat lopni vagy fiókokat átvenni.”
