Antywirusy ze Sklepu Play rozprzestrzeniały malware Sharkbot

Przeczytaj także: Vawtrak atakuje polskie banki

Niebezpieczne aplikacje to: Atom Clean-Booster, Antivirus Super Cleaner, Alpha Antivirus, Powerful Cleaner oraz dwie o takich samych nazwach - Center Security – Antivirus. Ich twórcami było trzech deweloperów: Zbynek Adamcik, Adelmio Pagnotto oraz Bingo Like Inc.

Ofiary ataków pochodziły z Włoch(62%) oraz Wielkiej Brytanii (36%). Aplikacje miały wdrożoną funkcję geofencing, która pozwalała na ominięcie użytkowników z Chin, Indii, Rumunii, Rosji, Ukrainy i Białorusi.

Zdaniem specjalistów bezpieczeństwa z Check Point Research, którzy stali za wykryciem szkodliwych programów, wszystkie z aplikacji posiadały zaszyty malware Sharkbot, potrafiący wykradać dane uwierzytelniające i informacje bankowe swoich ofiar. Sharkbot zachęca ofiary przede wszystkim do wprowadzania swoich danych w okna naśladujące formularze uwierzytelniające, a następnie wysyła je na złośliwy serwer.

Analitycy Check Point Research nie posiadają wystarczających dowodów, by przypisać ataki konkretnej grupie cyberprzestępczej. Uważają jednak, że hakerzy porozumiewają się po rosyjsku.

Zaledwie w ciągu tygodnia cyberprzestępcy przejęli dane z ponad 1000 adresów IP, a każdego dnia liczba ofiar wzrastała o około 100. Z kolei wg statystyk Google Play, sześć złośliwych aplikacji zostało pobranych łącznie ponad 11 tys. razy. Większość ofiar pochodziła z Włoch oraz Wielkiej Brytanii.

Odkryliśmy sześć aplikacji w sklepie Google Play, które rozprzestrzeniały złośliwe oprogramowanie Sharkbot, kradnące dane uwierzytelniające i informacje bankowe. Patrząc na liczbę instalacji, możemy założyć, że cyberprzestępcy trafili w dziesiątkę ze względu na metodę rozprzestrzeniania się złośliwego oprogramowania. Strategicznie wybrali lokalizację aplikacji w Google Play, które cieszą się zaufaniem użytkowników. Na uwagę zasługuje również to, że cyberprzestępcy wysyłają do ofiar wiadomości push zawierające złośliwe linki, co prowadzi do powszechniejszego przyjęcia – mówi Alexander Chailytko, Cyber Security, Research & Innovation Manager w Check Point Software.

Po zidentyfikowaniu aplikacji Check Point Research zgłosiło swoje uwagi do Google, który po ponownym ich zbadaniu przystąpił do trwałego usunięcia ze Sklepu Play. W dniu zgłoszenia grupa NCC opublikowała osobne badanie dotyczące Sharkbota, w którym wymieniono jedną ze złośliwych aplikacji.