一批新的惡意安卓應用程序冒充無害的文件管理器，滲入到了官方的Google Play應用程序商店中，用Sharkbot銀行木馬感染眾多用戶。

這些應用程序在安裝時并不攜帶惡意攻擊載荷，以便在Google Play上提交時躲避檢測，而是之后從遠程資源獲取攻擊載荷。

由于這批木馬應用程序是文件管理器，請求危險的權限以加載Sharkbot惡意軟件時，不太可能引起懷疑。

虛假的文件管理器感染安卓

Sharkbot是一種危險的惡意軟件，通過在銀行應用程序的合法登錄提示中顯示虛假的登錄表單，企圖竊取網(wǎng)上銀行賬戶。當用戶試圖使用這些虛假表單登錄銀行時，登錄信息就被竊取，并發(fā)送給威脅分子。

這種惡意軟件一直在進化，以種種形式出現(xiàn)在Play Store上，或者從木馬應用程序加載。

在安全公司比特梵德的一份新報告中，分析師們發(fā)現(xiàn)了新的安卓木馬應用程序偽裝成文件管理器，并向谷歌報告了這些木馬應用程序。所有這些惡意應用程序此后已從Google Play Store中刪除。

然而，許多以前下載了木馬應用程序的用戶可能仍然在手機上裝有它們，或者仍然遭受未被發(fā)現(xiàn)的殘留惡意軟件感染。

第一個惡意應用程序是Victor Soft Ice LLC開發(fā)的“X-File Manager”，在谷歌最終將其刪除之前，它通過Google Play已被下載了10000次。

圖1. Google Play上的X-File Manager（來源：比特梵德）

這款應用程序執(zhí)行反模擬檢查以逃避檢測，并只會在英國或意大利的SIM卡中加載Sharkbot，所以它是一起針對性的攻擊活動的一部分。

被該惡意軟件盯上的移動銀行應用程序列表如下所示，不過比特梵德特別指出，威脅分子可以隨時遠程更新這份列表。

圖2. 被這起Sharkbot活動盯上的銀行（來源：比特梵德）

比特梵德的遙測數(shù)據(jù)表明了這起活動的攻擊范圍很窄，因為這起Sharkbot攻擊浪潮的大多數(shù)受害者都在英國，其次是在意大利、伊朗和德國。

惡意應用程序請求用戶授予有風險的權限，比如讀寫外部存儲、安裝新軟件包、訪問帳戶詳細信息和刪除軟件包（以清除痕跡）等。

然而，這些權限在文件管理應用程序中看起來很正常，也屬意料之中，因此用戶不太可能謹慎地對待請求。

Sharkbot作為虛假的程序更新被獲取，X-File Manager在安裝前提示用戶批準。

第二個安裝銀行木馬的惡意應用程序是Julia Soft Io LLC開發(fā)的“FileVoyager”，通過Google Play下載了5000次。

圖3. Google Play上的FileVoyager（來源：比特梵德）

FileVoyager具有與X-File Manager相同的運作模式，針對意大利和英國的同一批金融機構。

比特梵德發(fā)現(xiàn)的另一個Sharkbot加載應用程序是LiteCleaner M，該應用程序在被發(fā)覺、從Play Store下架之前已累計下載了1000次。

目前，該應用程序只通過APKSOS等第三方應用程序商店才能獲得。同一個第三方應用程序商店上有第四個名為“Phone AID, Cleaner, Booster 2.6”的Sharkbot加載程序。

如果安裝了這些應用程序，安卓用戶應該立即刪除它們，并更改他們使用的任何網(wǎng)上銀行賬戶的密碼。

由于威脅分子直接從Google Play分發(fā)這些應用程序，保護自己的最佳方法是啟用Play Protect服務，以便在檢測到惡意應用程序后刪除它們。

此外，安卓移動安全殺毒應用程序將有助于檢測惡意流量和應用程序，甚至在它們被報告到Google Play之前就能檢測出來。

本文翻譯自：https://www.bleepingcomputer.com/news/security/android-file-manager-apps-infect-thousands-with-sharkbot-malware/