研究人員發(fā)現(xiàn)，竊取信息的Android惡意軟件Sharkbot通過防病毒解決方案的掩護悄悄地潛藏在Google Play商店的深處，給用戶帶來了極大的危險。事件起源于Check Point Research（CPR）團隊在分析商店中的可疑應(yīng)用程序時，發(fā)現(xiàn)了潛伏已久的惡意軟件。該軟件偽裝成防病毒解決方案，可以下載和安裝惡意軟件，并憑借此外表從Android設(shè)備中竊取用戶的憑據(jù)、銀行信息以及具有其他一系列眾多的其他獨特功能。

CPR研究人員Alex Shamsur和Raman Ladutska在周四發(fā)布的一份報告中聲明：Sharkbot通過引誘受害者在模仿良性證書的鏈接窗口中輸入證書信息，而當(dāng)用戶在這些窗口中輸入信息憑據(jù)后，相關(guān)的數(shù)據(jù)將被直接發(fā)送到惡意服務(wù)器。研究人員在檢查的過程中發(fā)現(xiàn)了六個不同的應(yīng)用程序，包括名為Atom Clean-Booster、Antivirus、Antvirus Super Cleaner和Center Security-Antivirus的應(yīng)用程序。這些應(yīng)用程序分別來自于三個開發(fā)人員帳戶——Zbynek Adamcik、Adelmio Pagnotto和Bingo Like Inc.——其中至少有兩個賬戶在去年秋天尤為活躍。研究人員梳理的時間表也顯示了他們的活動軌跡，因為Sharkbot于11月才首次出現(xiàn)在研究人員的觀察網(wǎng)上。

研究人員同時表示：一些與這些帳戶關(guān)聯(lián)的應(yīng)用程序已被從Google Play中刪除，但是卻仍然存在于非官方市場中。這意味著這些惡意應(yīng)用程序背后的行為者仍然在試圖參與惡意活動，因此需要我們時刻保持警惕。谷歌公司雖然已經(jīng)刪除了這些違規(guī)應(yīng)用程序，但在仍然有約15,000人次進行了下載和安裝。其實從分布人群也可以看出的主要目標(biāo)就像以前一樣還是以英國和意大利的用戶為主。

Sharkbot的不同之處

CPR研究人員表示，他們通過對Sharkbot的應(yīng)用模式進行分析觀察發(fā)現(xiàn)，Sharkbot不僅應(yīng)用了典型的信息竊取策略，它還具備了與典型Android惡意軟件不同的特征。研究人員認(rèn)為Sharkbot使用了一種地理區(qū)分功能，它可以根據(jù)地理區(qū)域選擇所攻擊的用戶，同時可以忽略來自中國、印度、羅馬尼亞、俄羅斯、烏克蘭或白俄羅斯的用戶。同時研究人員還指出，Sharkbot擁有一些更為靈活的技術(shù)。一方面若Sharkbot檢測到它正在沙箱（計算機安全領(lǐng)域中用于安全的運行程序機制）中運行時，它將停止執(zhí)行并退出。Sharkbot的另一個獨特標(biāo)志是它會利用域名生成算法（DGA），這是Android平臺惡意軟件中很少使用的技術(shù)。研究表示他們使用DGA，進而每周能夠生成七個域名，包括研究員觀察到的所有種子和算法，每周共有56個域名，即8種不同的算法組合。因此研究人員在他們的研究中觀察到了27個版本的Sharkbot，而這些版本之間的最主要區(qū)別就是擁有不同的DGA種子以及不同的botnetID和ownerID字段。

總而言之，Sharkbot能夠發(fā)送22個命令，進而允許網(wǎng)絡(luò)攻擊者在用戶的Android設(shè)備上執(zhí)行各種惡意操作包括：請求發(fā)送短信的權(quán)限；卸載已下載的應(yīng)用程序；將設(shè)備的聯(lián)系人列表發(fā)送到服務(wù)器；禁用電池優(yōu)化，以便Sharkbot可以在后臺運行；以及模仿用戶在屏幕上的滑動。

活動時間表

CPR研究人員于2月25日在Google Play上首次發(fā)現(xiàn)了含有Sharkbot病毒釋放器的四個應(yīng)用程序，此后不久于3月3日向谷歌報告了他們的發(fā)現(xiàn)。谷歌在發(fā)現(xiàn)安全漏洞后于3月9日刪除了這些應(yīng)用程序，但六天后，即3月15日，又發(fā)現(xiàn)了另一個Sharkbot病毒釋放器。并且在3月22日和3月27日又發(fā)現(xiàn)了兩個Sharkbot木馬病毒釋放器，他們也迅速向谷歌報告要及時予以移除。

研究人員表示，Sharkbot木馬病毒釋放器本身應(yīng)該引起關(guān)注。他們認(rèn)為：正如他們可以從病毒釋放器的功能來判斷的那樣，它們顯然本身存在的各種可能性構(gòu)成了威脅，我們的應(yīng)對手段不能僅僅只是丟棄惡意軟件。

具體而言，研究人員發(fā)現(xiàn)Sharkbot病毒釋放器偽裝成以下應(yīng)用程序在Google Play上。

• com.abbondioendrizzi.tools[.]超級清潔劑。
• com.abbondioendrizzi.antivirus.supercleaner。
• com.pagnotto28.sellsourcecode.alpha。
•  com.pagnotto28.sellsourcecode.supercleaner。
• com.antivirus.centersecurity.freeforall。
• com.centersecurity.android.cleaner。

研究人員指出，這些病毒釋放器也有一些獨特的規(guī)避檢測策略，例如檢測模擬器，如果它們發(fā)現(xiàn)了模擬器則會自動退出。他們還能夠檢查設(shè)備的所有用戶界面并采取相對的行動，比如替換其他應(yīng)用程序發(fā)送的通知。研究人員補充道：此外，Sharkbot可以安裝在從CnC下載的APK（安卓安裝包）上，這也為用戶在設(shè)備上安裝此類應(yīng)用程序后立即傳播惡意軟件提供了一個方便的途徑。

Google Play持續(xù)受到攻擊

長期以來，谷歌一直在努力解決其Android應(yīng)用程序商店里存在的惡意應(yīng)用程序和惡意軟件，并為清理這些惡意軟件做出了重大努力。然而一位安全專業(yè)人士指出，偽裝成防病毒解決方案出現(xiàn)的Sharkbot表明，攻擊者在如何隱藏平臺上的惡意活動方面越來越狡猾，這些現(xiàn)象的存在可能會損害用戶對Google Play的信心。

安全公司Cerberus Sentinel解決方案架構(gòu)副總裁Chris Clements在給Threatpost的電子郵件中表示：在應(yīng)用程序?qū)彶檫^程中，通過時間延遲、代碼混淆和地理位置區(qū)分來隱藏其惡意功能的惡意軟件應(yīng)用程序?qū)⑹沟梅谰W(wǎng)絡(luò)攻擊更具有挑戰(zhàn)性，而潛伏在官方應(yīng)用程序商店中也確實損害了用戶對谷歌平臺上所有應(yīng)用程序安全性的信任。他還認(rèn)為，智能手機是人們數(shù)字生活的中心，并且也是金融、個人和工作活動的樞紐，任何損害此類中央設(shè)備安全的惡意軟件都可能造成用戶的重大財務(wù)損失或聲譽損害。

而另一位安全專業(yè)人士則敦促Android用戶在決定是否從信譽良好的供應(yīng)商商店下載移動應(yīng)用程序時要謹(jǐn)慎，即使它是一個值得信賴的品牌。

KnowBe4的安全意識倡導(dǎo)者James McQuiggan提醒廣大用戶在安裝來自各種技術(shù)商店的應(yīng)用程序時，最好在下載應(yīng)用程序之前對其進行詳細(xì)的研究。因為網(wǎng)絡(luò)犯罪分子喜歡誘騙用戶安裝具有隱藏功能的惡意應(yīng)用程序，以此試圖竊取數(shù)據(jù)或接管帳戶。

本文翻譯自：https://threatpost.com/google-play-bitten-sharkbot/179252/如若轉(zhuǎn)載，請注明原文地址。