谷歌删除了六种不同的恶意安卓应用程序,主要针对英国和意大利的用户,安装了大约 15,000 次。
研究人员发现,窃取信息的 Android 恶意软件 Sharkbot 在防病毒 (AV) 解决方案的掩护下潜伏在 Google Play 商店的深处。
在分析商店中的可疑应用程序时,Check Point Research (CPR) 团队发现了据称是真正的 AV 解决方案的下载和安装恶意软件,该恶意软件从 Android 设备窃取凭据和银行信息,但还具有一系列其他独特功能。
“Sharkbot 诱使受害者在模仿良性凭证输入形式的窗口中输入他们的凭证,”CPR 研究人员 Alex Shamsur 和 Raman Ladutska 在一篇文章中写道 报告 周四发布。 “当用户在这些窗口中输入凭据时,受损数据会被发送到恶意服务器。”
研究人员发现了六种不同的应用程序——包括名为 Atom Clean-Booster、Antivirus 的应用程序; 防病毒超级清洁剂; 和 Center Security-Antivirus——传播 Sharkbot。 这些应用来自三个开发者账户——Zbynek Adamcik、Adelmio Pagnotto 和 Bingo Like Inc.——其中至少有两个在去年秋季活跃。 时间线是有道理的,就像 Sharkbot 首先来到研究人员的 XNUMX 月的雷达屏幕。
研究人员写道:“与这些帐户相关的一些应用程序已从 Google Play 中删除,但仍存在于非官方市场中。” “这可能意味着应用程序背后的行为者在仍然参与恶意活动的同时试图保持低调。”
研究人员表示,谷歌删除了这些违规应用程序,但在它们被下载并安装了大约 15,000 次之前。 他们说,Sharkbot 的主要目标是英国和意大利的用户,就像以前一样。
独特的方面
研究人员表示,CPR 研究人员深入研究了 Sharkbot 的引擎盖,不仅发现了典型的信息窃取策略,还发现了一些使其与典型 Android 恶意软件不同的特征。 他们说,它包括一个地理围栏功能,可以根据地理区域选择用户,忽略来自中国、印度、罗马尼亚、俄罗斯、乌克兰或白俄罗斯的用户。
研究人员指出,Sharkbot 还拥有一些巧妙的技术。 “如果恶意软件检测到它在沙箱中运行,它会停止执行并退出,”他们写道。
研究人员表示,该恶意软件的另一个独特特征是它利用了域生成算法 (DGA),这是 Android 平台恶意软件中很少使用的一个方面。
“使用 DGA,一个带有硬编码种子的样本每周会生成七个域,”他们写道。 “包括我们观察到的所有种子和算法,每周总共有 56 个域,即 8 种不同的种子/算法组合。”
研究人员在研究中观察了 27 个版本的 Sharkbot; 他们说,版本之间的主要区别在于不同的 DGA 种子以及不同的 botnetID 和 ownerID 字段。
总而言之,Sharkbot 实现了 22 条命令,允许在用户的 Android 设备上执行各种恶意操作,包括:请求发送 SMS 消息的权限; 卸载给定的应用程序; 将设备的联系人列表发送到服务器; 禁用电池优化,以便 Sharkbot 可以在后台运行; 并模仿用户在屏幕上的滑动。
活动时间表
研究人员于 25 月 3 日首次在 Google Play 上发现了 Sharkbot Dropper 的四个应用程序,此后不久于 9 月 15 日向 Google 报告了他们的发现。Google 于 XNUMX 月 XNUMX 日删除了这些应用程序,但随后在 XNUMX 天后的 XNUMX 月 XNUMX 日又发现了另一个 Sharkbot Dropper。
CPR 报告立即发现了第三个 dropper,然后在 22 月 27 日和 XNUMX 月 XNUMX 日又发现了另外两个 Sharkbot dropper,他们还迅速向 Google 报告了删除。
研究人员表示,Sharkbot 传播的滴管本身应该引起关注。 他们在报告中写道:“我们可以通过投放器的功能来判断,它们的可能性显然本身就构成威胁,而不仅仅是投放恶意软件。”
具体来说,研究人员发现 Sharkbot 滴管在 Google Play 上伪装成以下应用程序;
- com.abbondioendrizzi.tools[.]supercleaner
- com.abbondioendrizzi.antivirus.supercleaner
- com.pagnotto28.sellsourcecode.alpha
- com.pagnotto28.sellsourcecode.supercleaner
- com.antivirus.centersecurity.freeforall
- com.centersecurity.android.cleaner
研究人员指出,dropper 也有一些自己的规避策略,例如检测模拟器并在发现模拟器时退出。 他们还能够检查设备的所有 UI 事件并对其采取行动,以及替换其他应用程序发送的通知。
研究人员补充说:“此外,他们可以安装从 CnC 下载的 APK,一旦用户在设备上安装了这样的应用程序,它就为传播恶意软件提供了一个方便的起点。”
谷歌播放受到抨击
谷歌有 长期挣扎 恶意应用程序的持久性和 恶意软件 在其 Android 应用商店上,并为清理其行为做出了重大努力。
然而,一位安全专家指出,伪装成 AV 解决方案的 Sharkbot 的出现表明,攻击者在平台上隐藏恶意活动的方式越来越狡猾,并可能损害用户对 Google Play 的信心。
“通过延迟、代码混淆和地理围栏隐藏其恶意功能的恶意软件应用程序在应用程序审查过程中可能难以检测,但发现它们潜伏在官方应用程序商店中的规律性确实损害了用户对所有应用程序安全性的信任。平台,”安全公司解决方案架构副总裁 Chris Clements 说 Cerberus前哨,在发给 Threatpost 的电子邮件中.
他补充说,随着智能手机成为人们数字生活的中心,并充当财务、个人和工作活动的中心,“任何危害这种中心设备安全性的恶意软件都可能造成重大的财务或声誉损失。”
另一位安全专家敦促 Android 用户在决定是否从信誉良好的供应商商店下载移动应用程序时要谨慎,即使它是一个值得信赖的品牌。
“从各种技术商店安装应用程序时,最好在下载应用程序之前对其进行研究,”安全意识倡导者 James McQuiggan 说道。 KnowBe4. “网络犯罪分子喜欢诱骗用户安装具有隐藏功能的恶意应用程序,以试图窃取数据或接管帐户。”
