Google verwijdert 6 apps die zich voordoen als antivirus-apps, gebruikt om telefoons te infecteren met Sharkbot-malware


Google heeft naar verluidt zes apps verwijderd die besmet waren met de Sharkbot bank stealer-malware uit de Google Play Store. De apps werden 15.000 keer gedownload voordat ze uit de winkel werden verwijderd. Alle zes apps zijn ontworpen om zich voor te doen als antivirusoplossingen voor Android-smartphones en zijn ontworpen om doelen te selecteren met behulp van een geofencing-functie, waarbij hun inloggegevens voor verschillende websites en services worden gestolen. Deze geïnfecteerde applicaties werden naar verluidt gebruikt om gebruikers in Italië en het Verenigd Koninkrijk te targeten.

Volgens een blogpost door Check Point Research, zes Android-applicaties die doen alsof ze echt zijn antivirus apps op de Google Play-winkel werden geïdentificeerd als “droppers” voor de Sharkbot-malware. Sharkbot is een Android Stealer die wordt gebruikt om apparaten te infecteren en inloggegevens en betalingsgegevens van nietsvermoedende gebruikers te stelen. Nadat een dropper-applicatie is geïnstalleerd, kan deze worden gebruikt om een ​​schadelijke payload te downloaden en het apparaat van een gebruiker te infecteren, waardoor detectie in de Play Store wordt ontweken.

sharkbot android stealer malware checkpoint onderzoek inline sharkbot malware

De zes kwaadaardige applicaties die uit de Play Store zijn verwijderd
Fotocredits: Check Point-onderzoek

De Sharkbot-malware die door de zes frauduleuze antivirusprogramma’s wordt gebruikt, maakte ook gebruik van een ‘geofencing’-functie die wordt gebruikt om slachtoffers in specifieke regio’s te targeten. Volgens het team van Check Point Research is de Sharkbot-malware ontworpen om gebruikers uit China, India, Roemenië, Rusland, Oekraïne of Wit-Rusland te identificeren en te negeren. De malware is naar verluidt in staat om te detecteren wanneer het in een sandbox wordt uitgevoerd en stopt de uitvoering en wordt afgesloten om analyse te voorkomen.

Check Point Research identificeerde zes applicaties van drie ontwikkelaarsaccounts: Zbynek Adamcik, Adelmio Pagnotto en Bingo Like Inc. Het team citeert ook statistieken van AppBrain waaruit blijkt dat de zes applicaties in totaal 15.000 keer zijn gedownload voordat ze werden verwijderd. Sommige applicaties van deze ontwikkelaars zijn nog steeds beschikbaar op markten van derden, ondanks dat ze zijn verwijderd van Google Play.

Op 25 februari werden vier kwaadaardige apps ontdekt en gerapporteerd aan Google op 3 maart. Volgens Check Point Research zijn de applicaties op 9 maart uit de Play Store verwijderd. Ondertussen werden op 15 en 22 maart nog twee Sharkbot-dropper-apps ontdekt – beide werden naar verluidt op 27 maart verwijderd.

sharkbot android stealer apps downloads checkpoint onderzoek inline sharkbot malware

De onderzoekers stelden dat de apps 15.000 keer waren gedownload voordat ze werden verwijderd
Fotocredits: Check Point-onderzoek

De onderzoekers schetsten ook in totaal 22 commando’s die door de Sharkbot-malware worden gebruikt, waaronder het aanvragen van toestemming voor sms, het downloaden van Java-code en installatiebestanden, het bijwerken van lokale databases en configuraties, het verwijderen van applicaties, het oogsten van contacten, het uitschakelen van batterij-optimalisatie (om op de achtergrond te draaien) , en het verzenden van pushmeldingen, luisteren naar meldingen. Met name de Sharkbot-malware kan ook om toegankelijkheidsrechten vragen, waardoor deze de inhoud van het scherm kan zien en namens de gebruiker acties kan uitvoeren.

Volgens het team van Check Point Research kunnen gebruikers zich beschermen tegen malware die zich voordoet als legitieme software door alleen applicaties van vertrouwde en geverifieerde uitgevers te installeren. Als gebruikers een applicatie van een nieuwe uitgever vinden (met weinig downloads en recensies), is het beter om op zoek te gaan naar een vertrouwd alternatief. Ook kunnen gebruikers schijnbaar verdacht gedrag melden bij Google, aldus de onderzoekers.


Leave a Reply

Your email address will not be published.