借殼防病毒軟件，SharkBot銀行木馬在Google Play傳播

據Security Affairs網站消息，Check Point Research (CPR) 團隊的研究人員發布報告稱，在谷歌官方 Google

Play 商店中發現了幾個惡意 Android 應用程序，這些應用程序偽裝成防病毒軟件，用于傳播 SharkBot 銀行木馬。

Sharkbot 是攻擊者用來竊取銀行賬戶憑證的信息竊取程序，與其他 Android 銀行木馬一樣，利用 Android 的 Accessibility

Service 在合法銀行應用程序之上顯示虛假覆蓋窗口，但Sharkbot 也使用了 Android 惡意軟件很少使用的域生成算法

(DGA)，一旦安裝在受害者的設備上，Sharkbot

就會欺騙受害者在看起來像普通輸入表單的窗口中輸入他們的憑據。該惡意軟件還具備檢查是否在沙箱中運行的情況，以防止被研究人員分析。

研究人員認為，SharkBot 的特點之一是能夠自動回復來自 Facebook Messenger 和 WhatsApp

的通知，以傳播指向虛假防病毒應用程序的鏈接。

為了更具有針對性，Sharkbot利用惡意代碼實施規避技術并使用地理圍欄功能，以針對特定國家和地區的受害者，并避免感染來自印度、羅馬尼亞、俄羅斯和烏克蘭等地的設備。

所發現的六款虛假防病毒應用程序

研究人員發現，在 Google Play 商店中，共有6款看似正常的防病毒應用程序正在傳播 Sharkbot，分別來自3個開發者—— Zbynek

Adamcik、Adelmio Pagnotto 和 Bingo Like Inc。當研究人員檢查這些帳戶的歷史記錄時，發現其中兩個在 2021

年秋季處于活躍狀態。其中一些與這些帳戶相關聯的應用程序帳戶已從 Google Play

中刪除，但仍存在于非官方市場中。這可能意味著應用程序背后的攻擊者仍然在參與惡意活動的同時試圖保持低調。在部分應用被刪除前，有的已獲得超15000次下載，且大多數受害者位于意大利和英國。

在報告結尾，研究人員擔憂，如果今天在 Google Play

中出現新的防病毒應用程序，說不定就是披著羊皮的狼，成為傳播惡意軟件的載體。在如Sharkbot的傳播方案中，惡意軟件本身并沒有上傳到 Google

Play，而是通過中間鏈接，偽裝成合法軟件。

參考來源：https://securityaffairs.co/wordpress/130021/malware/sharkbot-banking-trojan-google-play.html

　　聲明：本文僅為傳遞更多網絡信息，不代表IT資訊網觀點和意見，僅供參考了解，更不能作為投資使用依據。