Премахнатите приложения вече имат 10 000 изтегляния, насочени към жертви в Обединеното кралство и Италия
Операторите зад банковия троян SharkBot са насочени към потребителите на Google Play, като се маскират като вече несъществуващи приложения за управление на файлове за Android и имат десетки хиляди инсталирания до момента.
Вижте също: Уебинар на живо | Как да постигнете цели за нулево доверие с усъвършенствани стратегии за крайни точки
Компанията за киберсигурност Bitdefender казва Той откри приложения в Google Play Store, които са маскирани като файлови мениджъри и действат като „дропери към банкерите на SharkBot малко след инсталирането, в зависимост от местоположението на потребителя“.
“Възможно е Google Play Store да открие Banker Trojan, качен в тяхното хранилище, така че престъпниците прибягват до по-скрити методи. Един от начините е да използват приложение, понякога легитимно с някои рекламирани функции, което действа като капкомер за по-злонамерени зловреден софтуер”, казва той. Изследователите на Bitdefender.
Приложенията, открити от Bitdefender, са маскирани като файлови мениджъри и изискват разрешение за инсталиране на пакети на трети страни, което води до изтегляне на зловреден софтуер.
„Тъй като приложенията на Google Play се нуждаят само от функционалност на файловия мениджър, за да инсталират друго приложение и злонамереното поведение се активира за ограничена група потребители, е трудно да се открие“, казват изследователите.
В момента обаче приложенията се премахват и изследователите предупреждават, че те все още се намират в мрежата в различни магазини на трети страни, което ги прави текуща заплаха.
Потребителите предимно от Обединеното кралство и Италия изтеглят приложенията през повечето време и малка част от другите страни.
Традиционно банковият троянски кон събира потребителски идентификационни данни и друга чувствителна финансова и лична информация, съхранявана в устройство, за използване в бъдещи онлайн измами или фишинг кампании.
X-File Manager
Изследователи от Bitdefender откриха приложението X-File Manager от Google Play с над 10 000 инсталирания, преди да бъде изтрито.
Това приложение инсталира шаблона SharkBot с етикет _File Manager и подвежда потребителя да мисли, че трябва да се инсталира актуализация на приложението.
“Изглежда, че профилът на разработчика в Google Play е видим само за потребители от Италия и Великобритания. Достъпът до страницата му без посочване на кода на държавата не е възможен”, казват изследователите.
Bitdefender също казва, че много потребители са докладвали за приложението и то е получило много отрицателни отзиви, особено от Италия.
По-нататъшен анализ на приложението X-File Manager, изследователи от Bitdefender откриха, че приложението изисква множество разрешения от потребители, които включват:
- READ_EXTERNAL_STORAGE;
- WRITE_EXTERNAL_STORAGE
- GET_ACCOUNTS
- REQUEST_INSTALL_PACKAGES
- QUERY_ALL_PACKAGES,
- REQUEST_DELETE_PACKAGES.
Те също така установиха, че приложението изпълнява антиемулаторни проверки и е насочено към потребители от Великобритания и Италия, като проверява дали SIM ISO е IT или GB съвместим.
Той също така проверява дали потребителите са инсталирали поне едно от целевите банкови приложения на своите устройства, казват изследователите. „Приложението изпълнява заявка в URI, изтегля пакета и записва злонамерения полезен товар на устройството.“
И накрая, капкомерът фалшифицира актуализация на съществуващото приложение, за да завърши инсталационния процес и подканва потребителите да инсталират изпуснатия APK файл.
Предишни инциденти с атака
Това не е първият път, когато операторите на Sharkbot използват Google Play Store. През септември компанията за киберсигурност Fox-IT изложени че операторите зад SharkBot са разпространявали злонамерен софтуер върху вече деактивирани приложения, които вече са имали десетки хиляди инсталации.
Злонамерените приложения, наречени Mister Phone Cleaner и Kylhavy Mobile Security, са били изтеглени 50 000 и 10 000 пъти според Fox-IT. Зловреден софтуер е насочен основно към жертви в Испания, Австралия, Полша, Германия, Съединените щати и Австрия.
Изследователите на киберсигурността на Cleafy откриха троянския кон през октомври 2021 г., когато операторите се насочиха към банкиране и клиенти на криптовалута в Обединеното кралство, Италия и САЩ чрез кампании за странично зареждане и социално инженерство.
Предишната актуализация на троянския кон на Sharkbot беше забелязана да краде сесийни бисквитки от жертвите, които включват данни от момента, в който са влезли в банковите си сметки. Той открива действието на жертвата при отваряне на банково приложение и извършва допълнителна инжекция или наслагваща атака, за да открадне идентификационни данни.