研究人員發(fā)現(xiàn)，竊取信息的Android惡意軟件Sharkbot通過防病毒解決方案的掩護悄悄地潛藏在Google Play商店的深處，給用戶帶來了極大的危險。事件起源于Check Point Research（CPR）團隊在分析商店中的可疑應用程序時，發(fā)現(xiàn)了潛伏已久的惡意軟件。該軟件偽裝成防病毒解決方案，可以下載和安裝惡意軟件，并憑借此外表從Android設備中竊取用戶的憑據(jù)、銀行信息以及具有其他一系列眾多的其他獨特功能。

CPR研究人員Alex Shamsur和Raman Ladutska在周四發(fā)布的一份報告中聲明：Sharkbot通過引誘受害者在模仿良性證書的鏈接窗口中輸入證書信息，而當用戶在這些窗口中輸入信息憑據(jù)后，相關的數(shù)據(jù)將被直接發(fā)送到惡意服務器。研究人員在檢查的過程中發(fā)現(xiàn)了六個不同的應用程序，包括名為Atom Clean-Booster、Antivirus、Antvirus Super Cleaner和Center Security-Antivirus的應用程序。這些應用程序分別來自于三個開發(fā)人員帳戶——Zbynek Adamcik、Adelmio Pagnotto和Bingo Like Inc.——其中至少有兩個賬戶在去年秋天尤為活躍。研究人員梳理的時間表也顯示了他們的活動軌跡，因為Sharkbot于11月才首次出現(xiàn)在研究人員的觀察網上。

研究人員同時表示：一些與這些帳戶關聯(lián)的應用程序已被從Google Play中刪除，但是卻仍然存在于非官方市場中。這意味著這些惡意應用程序背后的行為者仍然在試圖參與惡意活動，因此需要我們時刻保持警惕。谷歌公司雖然已經刪除了這些違規(guī)應用程序，但在仍然有約15,000人次進行了下載和安裝。其實從分布人群也可以看出的主要目標就像以前一樣還是以英國和意大利的用戶為主。

Sharkbot的不同之處

CPR研究人員表示，他們通過對Sharkbot的應用模式進行分析觀察發(fā)現(xiàn)，Sharkbot不僅應用了典型的信息竊取策略，它還具備了與典型Android惡意軟件不同的特征。研究人員認為Sharkbot使用了一種地理區(qū)分功能，它可以根據(jù)地理區(qū)域選擇所攻擊的用戶，同時可以忽略來自中國、印度、羅馬尼亞、俄羅斯、烏克蘭或白俄羅斯的用戶。同時研究人員還指出，Sharkbot擁有一些更為靈活的技術。一方面若Sharkbot檢測到它正在沙箱（計算機安全領域中用于安全的運行程序機制）中運行時，它將停止執(zhí)行并退出。Sharkbot的另一個獨特標志是它會利用域名生成算法（DGA），這是Android平臺惡意軟件中很少使用的技術。研究表示他們使用DGA，進而每周能夠生成七個域名，包括研究員觀察到的所有種子和算法，每周共有56個域名，即8種不同的算法組合。因此研究人員在他們的研究中觀察到了27個版本的Sharkbot，而這些版本之間的最主要區(qū)別就是擁有不同的DGA種子以及不同的botnetID和ownerID字段。

總而言之，Sharkbot能夠發(fā)送22個命令，進而允許網絡攻擊者在用戶的Android設備上執(zhí)行各種惡意操作包括：請求發(fā)送短信的權限；卸載已下載的應用程序；將設備的聯(lián)系人列表發(fā)送到服務器；禁用電池優(yōu)化，以便Sharkbot可以在后臺運行；以及模仿用戶在屏幕上的滑動。

活動時間表

CPR研究人員于2月25日在Google Play上首次發(fā)現(xiàn)了含有Sharkbot病毒釋放器的四個應用程序，此后不久于3月3日向谷歌報告了他們的發(fā)現(xiàn)。谷歌在發(fā)現(xiàn)安全漏洞后于3月9日刪除了這些應用程序，但六天后，即3月15日，又發(fā)現(xiàn)了另一個Sharkbot病毒釋放器。并且在3月22日和3月27日又發(fā)現(xiàn)了兩個Sharkbot木馬病毒釋放器，他們也迅速向谷歌報告要及時予以移除。

研究人員表示，Sharkbot木馬病毒釋放器本身應該引起關注。他們認為：正如他們可以從病毒釋放器的功能來判斷的那樣，它們顯然本身存在的各種可能性構成了威脅，我們的應對手段不能僅僅只是丟棄惡意軟件。

具體而言，研究人員發(fā)現(xiàn)Sharkbot病毒釋放器偽裝成以下應用程序在Google Play上。

• com.abbondioendrizzi.tools[.]超級清潔劑。
• com.abbondioendrizzi.antivirus.supercleaner。
• com.pagnotto28.sellsourcecode.alpha。
•  com.pagnotto28.sellsourcecode.supercleaner。
• com.antivirus.centersecurity.freeforall。
• com.centersecurity.android.cleaner。

研究人員指出，這些病毒釋放器也有一些獨特的規(guī)避檢測策略，例如檢測模擬器，如果它們發(fā)現(xiàn)了模擬器則會自動退出。他們還能夠檢查設備的所有用戶界面并采取相對的行動，比如替換其他應用程序發(fā)送的通知。研究人員補充道：此外，Sharkbot可以安裝在從CnC下載的APK（安卓安裝包）上，這也為用戶在設備上安裝此類應用程序后立即傳播惡意軟件提供了一個方便的途徑。

Google Play持續(xù)受到攻擊

長期以來，谷歌一直在努力解決其Android應用程序商店里存在的惡意應用程序和惡意軟件，并為清理這些惡意軟件做出了重大努力。然而一位安全專業(yè)人士指出，偽裝成防病毒解決方案出現(xiàn)的Sharkbot表明，攻擊者在如何隱藏平臺上的惡意活動方面越來越狡猾，這些現(xiàn)象的存在可能會損害用戶對Google Play的信心。

安全公司Cerberus Sentinel解決方案架構副總裁Chris Clements在給Threatpost的電子郵件中表示：在應用程序審查過程中，通過時間延遲、代碼混淆和地理位置區(qū)分來隱藏其惡意功能的惡意軟件應用程序將使得防網絡攻擊更具有挑戰(zhàn)性，而潛伏在官方應用程序商店中也確實損害了用戶對谷歌平臺上所有應用程序安全性的信任。他還認為，智能手機是人們數(shù)字生活的中心，并且也是金融、個人和工作活動的樞紐，任何損害此類中央設備安全的惡意軟件都可能造成用戶的重大財務損失或聲譽損害。

而另一位安全專業(yè)人士則敦促Android用戶在決定是否從信譽良好的供應商商店下載移動應用程序時要謹慎，即使它是一個值得信賴的品牌。

KnowBe4的安全意識倡導者James McQuiggan提醒廣大用戶在安裝來自各種技術商店的應用程序時，最好在下載應用程序之前對其進行詳細的研究。因為網絡犯罪分子喜歡誘騙用戶安裝具有隱藏功能的惡意應用程序，以此試圖竊取數(shù)據(jù)或接管帳戶。

本文翻譯自：https://threatpost.com/google-play-bitten-sharkbot/179252/如若轉載，請注明原文地址。