Forsigtig: Slet disse antivirusprogrammer, der spreder malware (Sharkbot) nu

Η Check Point Research (CPR) har opdaget seks ansøgninger i Play butik af Google, der spreder malware ved at foregive at være antivirusløsninger.

Γkendt som hajbot, malware stjæler legitimationsoplysninger og bankoplysninger. I løbet af hendes forskning har CPR talt over 1.000 unikke IP'er adresser på inficerede enheder, hovedsageligt i Storbritannien og Italien. Dog hans statistik Google Play Store afslørede, at de ondsindede applikationer blev downloadet mere end 11.000 gange.

det hajbot lokker sine ofre gennem alarmer skub og narre brugere til at indtaste legitimationsoplysninger i miljøer, der efterligner dataindtastningsformer. DET CPR har mistanke om, at truslen er russisktalende og advarer Android-brugere over hele verden om at være ekstra forsigtige, før de downloader antivirusløsninger på Play butik.

det 62 % af ofrene blev fundet i Italien, 36 % i Storbritannien, 2% i andre lande
Trusseloperatører har implementeret geografisk hegn, som ignorerer enhedsbrugere i Kina, Indien, Rumænien, Rusland, Ukraine og Hviderusland
CPR rapporterede straks hendes resultater på Google, som fjernede de ondsindede programmer

Η Check Point Research (CPR) Han opdagede seks ansøgninger som spreder bankmalware i Google Play Butik forklædt som antivirusløsninger. Malware, kendt som "hajbotStjæler legitimationsoplysninger og bankoplysninger fra Android-brugere. Det hajbot lokker sine ofre til at indsætte deres legitimationsoplysninger i vinduer, der efterligner formularer til legitimationsindtastning. Når en bruger indtaster deres data der, sendes de kompromitterede data til en ondsindet server. DET CPR fandt ud af, at malware-skabere havde implementeret en geolokationsfunktion, der ignorerer enhedsbrugere i Kina, Indien, Rumænien, Rusland, Ukraine eller Hviderusland.

De seks ondsindede applikationer

Fire af ansøgningerne kom fra deres tre udviklerkonti Resten Adamcik, Adelmio Pagnotto og Bingo Like Inc. Da CPR tjekkede historikken for disse konti, fandt de ud af, at to af dem var aktive i efteråret 2021. Nogle af de apps, der var knyttet til disse konti, blev fjernet fra Google Play, men eksisterer stadig på uformelle markeder. Dette kan betyde, at personen bag applikationerne forsøger at holde sig "under radaren", mens han stadig engagerer sig i ondsindet aktivitet.

Ofrene

CPR var i stand til at indsamle statistik i en uge. I denne periode talte han mere end 1.000 IP-ofre. Hver dag steg antallet af ofre med omkring 100. Ifølge hans statistikker Google Play, blev de seks ondsindede applikationer opdaget af CPR downloadet mere end 11.000 gange. De fleste af ofrene er i Storbritannien og Italien.

Figur 2.% af ofrene pr. land

Angrebsmetoden

Motivere brugeren til at give adgangsrettigheder til en applikation
Derefter får malwaren kontrol over en stor del af ofrets enhed
Trusseltagere kan også sende push-alarmer til ofre, der indeholder ondsindede links

Detaljer om angrebet

CPR har ikke nok data til at henføre ansvaret til et bestemt sted. Vi kan antage, at malware-forfatterne taler russisk. Derudover vil malwaren ikke udføre sin ondsindede funktionalitet, hvis enheden er lokalt placeret i Kina, Indien, Rumænien, Rusland, Ukraine eller Hviderusland.

Vi melder ansvarligt ud

Umiddelbart efter at have fundet disse applikationer, der spredte Sharkbot, annoncerede CPR sine resultater til Google. Efter at have gennemgået applikationerne fortsatte Google med at fjerne disse applikationer permanent fra Google Play Butik. Samme dag som CPR rapporterede resultaterne til Google, NCC-teamet offentliggjort en separat undersøgelse for Sharkbot, der citerer en af de ondsindede applikationer.

Hans kommentar Alexander Chailytko, Cyber Security, Research & Innovation Manager, Check Point Software:

Vi har opdaget seks applikationer i Google Play Butik, der spreder Sharkbot-malware. Denne malware stjæler legitimationsoplysninger og bankoplysninger. Det er åbenbart meget farligt. I betragtning af antallet af installationer kan vi antage, at trusselsfaktoren med succes har valgt metoden til at sprede malwaren ved strategisk at vælge placeringen af applikationer på Google Play, der har tillid fra brugerne. Hvad der også er bemærkelsesværdigt her er, at trusselsbærerne sender beskeder til ofrene, som indeholder ondsindede links, hvilket fører til udbredt adoption. Generelt er brugen af push-beskeder ved at true brugerne til at svare brugerne en usædvanlig formidlingsteknik.

Jeg tror, det er vigtigt for alle Android-brugere at vide, at de skal være meget forsigtige, før de downloader en antivirusløsning fra Play Butik. Det kunne være Sharkbot.

Sikkerhedstip til Android-brugere

Installer kun applikationer fra betroede og verificerede udgivere.
Hvis du ser en ansøgning fra en ny udgiver, skal du kigge efter en fra en betroet udgiver.
Rapporter til Google alle tilsyneladende mistænkelige applikationer, du støder på.

Glem ikke at følge den Xiaomi-miui.gr på Google Nyheder at blive informeret med det samme om alle vores nye artikler! Du kan også, hvis du bruger RSS-læser, tilføje vores side til din liste, blot ved at følge dette link >> https://news.xiaomi-miui.gr/feed/gn

Forsigtig: Slet disse antivirusprogrammer, der spreder malware (Sharkbot) med det samme