Sharkbot Android Malware versteckt sich in gefälschten Antivirus-Apps bei Google Play

Sicherheitsforscher haben eine weitere Reihe von Apps im offiziellen Google Play Store entdeckt, die sich als Antivirus ausgaben, aber mit Malware durchsetzt waren. Die Apps waren mit der Sharkbot- Banking-Malware versehen, die Android-Geräte betraf.

Ein Forschungsteam von Check Point entdeckte, dass die gefälschten Antiviren-Apps rund 15.000 Mal heruntergeladen wurden, bevor sie entfernt wurden. Google entfernte die mit Malware beladenen Apps erst, nachdem Check Point eine Warnung an das Unternehmen gesendet hatte.

Sharkbot verwendet ungewöhnliche Techniken

Die schädlichen Apps waren „mindestens sechs“ und sollten wie legitime mobile Sicherheits- und Antivirus-Tools aussehen, aber die Realität war genau das Gegenteil. Die Apps enthielten den Sharkbot-Stealer – eine Android-Malware, die entwickelt wurde, um Bankinformationen und Zugangsdaten zu stehlen.

Laut Check Point hat Sharkbot zwei Funktionen, die ihn zu einem herausragenden Android-Malware machen. Die erste davon ist die Verwendung eines Domänengenerierungsalgorithmus durch die Malware. Dies bezieht sich auf die Fähigkeit der Malware, gelegentlich eine Reihe unterschiedlicher Domänennamen zu generieren, die sie dann zum Weiterleiten der Kommunikation zu ihren Command-and-Control-Servern verwendet.

Die zweite Funktion, die normalerweise bei Android-Malware nicht zu sehen ist, ist das Geofencing, das Sharkbot verwendet. In Bezug auf Malware ist Geofencing der Begriff, der verwendet wird, um die Fähigkeit der Schadsoftware zu bezeichnen, nur bestimmte Regionen und Bevölkerungsgruppen anzugreifen und andere zu meiden, als ob sie sie praktisch „abzäunen“ würden. Dies tritt häufig bei Malware auf, die nicht versucht, Opfer in ihrem Ursprungsgebiet oder in Regionen mit erhöhten Sicherheitsmaßnahmen anzugreifen.

Infektionen vor allem in Westeuropa

Die Mehrheit der von den Forschern als infiziert identifizierten Geräte und IPs befand sich in Westeuropa, hauptsächlich im Vereinigten Königreich und in Italien, mit nur einem Anteil von 2 % der verbleibenden Infektionen in anderen Gebieten.

Check Point schloss seinen Bericht über die Android-Malware mit dem Rat, den wir auch jedes Mal wiederholen – installieren Sie nur Anwendungen von „vertrauenswürdigen und verifizierten Herausgebern“. Dies ist jedoch das zweite Mal innerhalb weniger Wochen, dass Android-Malware, die im offiziellen Google Play Store lauert, Schlagzeilen machte, sodass dieser Rat, obwohl er grundsätzlich vernünftig ist, nicht ausreichen wird, um jeden Benutzer vor jeder Bedrohung zu schützen.