Maar liefst zeven kwaadaardige Android-apps die in de Google Play Store werden ontdekt, vermomd als antivirusoplossingen om een banktrojan genaamd SharkBot.
“SharkBot steelt inloggegevens en bankgegevens”, Check Point-onderzoekers Alex Shamshur en Raman Ladutska zei in een rapport gedeeld met The Hacker News. “Deze malware implementeert een geofencing-functie en ontwijkingstechnieken, waardoor het zich onderscheidt van de rest van malware.”
De malware is met name ontworpen om gebruikers uit China, India, Roemenië, Rusland, Oekraïne en Wit-Rusland te negeren. De frauduleuze apps zouden meer dan 15.000 keer zijn geïnstalleerd voordat ze werden verwijderd, waarbij de meeste slachtoffers zich in Italië en het VK bevonden
Het rapport is een aanvulling op eerdere bevindingen van NCC Group, die ontdekte dat de bankbot zich voordeed als antivirus-apps om ongeautoriseerde transacties uit te voeren via Automatic Transfer Systems (ATS).
SharkBot maakt gebruik van de machtigingen van Accessibility Services om valse overlayvensters te presenteren bovenop legitieme bank-apps. Dus wanneer nietsvermoedende gebruikers hun gebruikersnamen en wachtwoorden invoeren in de vensters die goedaardige inlogformulieren nabootsen, worden de vastgelegde gegevens naar een kwaadwillende server gestuurd.
Een nieuwe opvallende eigenschap van SharkBot is de mogelijkheid om automatisch te reageren op meldingen van Facebook Messenger en WhatsApp om een phishing-link naar de antivirus-app te verspreiden, waardoor de malware op een wormachtige manier wordt verspreid. Een soortgelijke functie werd eerder in februari in FluBot opgenomen.
De nieuwste bevindingen komen naarmate Google stappen ondernam om verban 11 apps uit de Play Store op 25 maart nadat ze werden betrapt op het opnemen van een invasieve SDK om discreet gebruikersgegevens verzameleninclusief nauwkeurige locatie-informatie, e-mail- en telefoonnummers, apparaten in de buurt en wachtwoorden.
“Wat hier ook opmerkelijk is, is dat de dreigingsactoren berichten naar slachtoffers sturen die kwaadaardige links bevatten, wat leidt tot wijdverbreide acceptatie”, zegt Alexander Chailytko, cyberbeveiligings-, onderzoeks- en innovatiemanager bij Check Point Software.
“Al met al is het gebruik van push-berichten door de dreigingsactoren die een antwoord van gebruikers vragen een ongebruikelijke verspreidingstechniek.”
