據(jù)Security Affairs網(wǎng)站消息，Check Point Research (CPR) 團(tuán)隊(duì)的研究人員發(fā)布報(bào)告稱，在谷歌官方 Google Play 商店中發(fā)現(xiàn)了幾個(gè)惡意 Android 應(yīng)用程序，這些應(yīng)用程序偽裝成防病毒軟件，用于傳播 SharkBot 銀行木馬。

Sharkbot 是攻擊者用來(lái)竊取銀行賬戶憑證的信息竊取程序，與其他 Android 銀行木馬一樣，利用 Android 的 Accessibility Service 在合法銀行應(yīng)用程序之上顯示虛假覆蓋窗口，但Sharkbot 也使用了 Android 惡意軟件很少使用的域生成算法 (DGA)，一旦安裝在受害者的設(shè)備上，Sharkbot 就會(huì)欺騙受害者在看起來(lái)像普通輸入表單的窗口中輸入他們的憑據(jù)。該惡意軟件還具備檢查是否在沙箱中運(yùn)行的情況，以防止被研究人員分析。

研究人員認(rèn)為，SharkBot 的特點(diǎn)之一是能夠自動(dòng)回復(fù)來(lái)自 Facebook Messenger 和 WhatsApp 的通知，以傳播指向虛假防病毒應(yīng)用程序的鏈接。

為了更具有針對(duì)性，Sharkbot利用惡意代碼實(shí)施規(guī)避技術(shù)并使用地理圍欄功能，以針對(duì)特定國(guó)家和地區(qū)的受害者，并避免感染來(lái)自印度、羅馬尼亞、俄羅斯和烏克蘭等地的設(shè)備。

所發(fā)現(xiàn)的六款虛假防病毒應(yīng)用程序

研究人員發(fā)現(xiàn)，在 Google Play 商店中，共有6款看似正常的防病毒應(yīng)用程序正在傳播 Sharkbot，分別來(lái)自3個(gè)開(kāi)發(fā)者—— Zbynek Adamcik、Adelmio Pagnotto 和 Bingo Like Inc。當(dāng)研究人員檢查這些帳戶的歷史記錄時(shí)，發(fā)現(xiàn)其中兩個(gè)在 2021 年秋季處于活躍狀態(tài)。其中一些與這些帳戶相關(guān)聯(lián)的應(yīng)用程序帳戶已從 Google Play 中刪除，但仍存在于非官方市場(chǎng)中。這可能意味著應(yīng)用程序背后的攻擊者仍然在參與惡意活動(dòng)的同時(shí)試圖保持低調(diào)。在部分應(yīng)用被刪除前，有的已獲得超15000次下載，且大多數(shù)受害者位于意大利和英國(guó)。

在報(bào)告結(jié)尾，研究人員擔(dān)憂，如果今天在 Google Play 中出現(xiàn)新的防病毒應(yīng)用程序，說(shuō)不定就是披著羊皮的狼，成為傳播惡意軟件的載體。在如Sharkbot的傳播方案中，惡意軟件本身并沒(méi)有上傳到 Google Play，而是通過(guò)中間鏈接，偽裝成合法軟件。

參考來(lái)源：https://securityaffairs.co/wordpress/130021/malware/sharkbot-banking-trojan-google-play.html