據(jù)Security Affairs網(wǎng)站消息，Check Point Research (CPR) 團(tuán)隊的研究人員發(fā)布報告稱，在谷歌官方 Google Play 商店中發(fā)現(xiàn)了幾個惡意 Android 應(yīng)用程序，這些應(yīng)用程序偽裝成防病毒軟件，用于傳播 SharkBot 銀行木馬。

Sharkbot 是攻擊者用來竊取銀行賬戶憑證的信息竊取程序，與其他 Android 銀行木馬一樣，利用 Android 的 Accessibility Service 在合法銀行應(yīng)用程序之上顯示虛假覆蓋窗口，但Sharkbot 也使用了 Android 惡意軟件很少使用的域生成算法 (DGA)，一旦安裝在受害者的設(shè)備上，Sharkbot 就會欺騙受害者在看起來像普通輸入表單的窗口中輸入他們的憑據(jù)。該惡意軟件還具備檢查是否在沙箱中運行的情況，以防止被研究人員分析。

研究人員認(rèn)為，SharkBot 的特點之一是能夠自動回復(fù)來自 Facebook Messenger 和 WhatsApp 的通知，以傳播指向虛假防病毒應(yīng)用程序的鏈接。

為了更具有針對性，Sharkbot利用惡意代碼實施規(guī)避技術(shù)并使用地理圍欄功能，以針對特定國家和地區(qū)的受害者，并避免感染來自印度、羅馬尼亞、俄羅斯和烏克蘭等地的設(shè)備。

所發(fā)現(xiàn)的六款虛假防病毒應(yīng)用程序

研究人員發(fā)現(xiàn)，在 Google Play 商店中，共有6款看似正常的防病毒應(yīng)用程序正在傳播 Sharkbot，分別來自3個開發(fā)者—— Zbynek Adamcik、Adelmio Pagnotto 和 Bingo Like Inc。當(dāng)研究人員檢查這些帳戶的歷史記錄時，發(fā)現(xiàn)其中兩個在 2021 年秋季處于活躍狀態(tài)。其中一些與這些帳戶相關(guān)聯(lián)的應(yīng)用程序帳戶已從 Google Play 中刪除，但仍存在于非官方市場中。這可能意味著應(yīng)用程序背后的攻擊者仍然在參與惡意活動的同時試圖保持低調(diào)。在部分應(yīng)用被刪除前，有的已獲得超15000次下載，且大多數(shù)受害者位于意大利和英國。

在報告結(jié)尾，研究人員擔(dān)憂，如果今天在 Google Play 中出現(xiàn)新的防病毒應(yīng)用程序，說不定就是披著羊皮的狼，成為傳播惡意軟件的載體。在如Sharkbot的傳播方案中，惡意軟件本身并沒有上傳到 Google Play，而是通過中間鏈接，偽裝成合法軟件。

參考來源：https://securityaffairs.co/wordpress/130021/malware/sharkbot-banking-trojan-google-play.html