Check Point Research odhalil v obchodě Google Play šest nebezpečných aplikací, které šířily bankovní malware a vydávaly se za antivirová řešení. Malware Sharkbot krade přihlašovací údaje a bankovní informace.
As a means to complicate the analysis, cyber-crime actors can spread malware in Google Play through benign looking mediators that fake AV applications and gain credibility. Read our research about Sharkbot - spread in the way described.https://t.co/UOyhwBGc8H
— Check Point Research (@_CPResearch_) April 8, 2022
Sharkbot používá push notifikace a snaží se nalákat oběti, aby zadaly své přihlašovací údaje do věrohodně vypadajících formulářů. Jakmile uživatel data zadá, malware je odešle na servery útočníků.
- Uživatelé jsou nejdříve požádání, aby aplikaci udělili speciální práva.
- Malware následně získá kontrolu nad velkou částí zařízení.
- Útočníci mohou obětem zasílat push notifikace obsahující škodlivé odkazy.
Malware zároveň nespustí škodlivé funkce, pokud se zařízení nachází v Číně, Indii, Rumunsku, Rusku, na Ukrajině nebo v Bělorusku.
Check Point detekoval během jednoho týdne více než 1 000 unikátních IP adres infikovaných zařízení, většinou se jednalo o Velkou Británii a Itálii, ale zasaženi byli i uživatelé v dalších zemích. Statistiky Google Play ukazují, že celkově byly nebezpečné aplikace stažené více než 15 000krát. Z vyšetřování vyplývá, že útočníci mluví rusky, ale zatím chybí další důkazy pro bližší určení konkrétní skupiny. Uživatelé by měli být při stahování antivirových aplikací z Google Play velmi opatrní.
Aplikace pochází od tří vývojářů: Zbynek Adamcik, Adelmio Pagnotto a Bingo Like Inc. Některé aplikace spojené s těmito účty byly již dříve z Google Play odstraněny, ale stále je lze najít v nabídce neoficiálních obchodů. Útočníci se tak nadále snaží šířit malware, ale zároveň na sebe nechtějí příliš upozorňovat.
Check Point o aplikacích šířících malware Sharkbot informoval společnost Google, která aplikace z obchodu Google Play odstranila. „V Google Play jsme objevili šest aplikací, které šířily malware Sharkbot. Jedná se o velmi nebezpečnou variantu malwaru, protože krade přihlašovací údaje a bankovní informace. Podle počtu stažení je zřejmé, že jsou útočníci úspěšní. Uživatelé totiž většinou aplikacím na Google Play slepě důvěřují. Poměrně neobvyklé je použití push notifikací. Každopádně pokud si z Google Play chcete stáhnout nějakou antivirovou aplikaci, měli byste být velmi obezřetní,“ říká Petr Kadrmas, Security Engineer Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.
Více informací najdete v analýze výzkumného týmu Check Point Research na tomto odkazu.
