虚假防病毒和清洁应用程序安装 SharkBot Android 银行木马

Hackernews 编译，转载请注明出处：

臭名昭著的Android银行木马SharkBot，再次伪装成防病毒和清洁应用程序出现在Google Play商店中。

NCC集团的Fox IT在一份报告中说：“这种新的dropper不依赖于可访问权限自动执行dropper Sharkbot恶意软件的安装。相反，新版本要求受害者安装恶意软件作为防病毒软件的虚假更新，以防止受到威胁。”

存在问题的应用程序Mister Phone Cleaner和Kylhavy Mobile Security，总共被安装了6万多次，主要针对西班牙、澳大利亚、波兰、德国、美国和奥地利的用户。

• Mister Phone Cleaner (com.mbkristine8.cleanmaster, 50,000+ 下载)
• Kylhavy Mobile Security (com.kylhavy.antivirus, 10,000+ 下载)

Dropper旨在投放由荷兰安全公司ThreatFabric称为V2的新版本SharkBot，具有更新的命令和控制 (C2) 通信机制、域生成算法 (DGA) 和完全重构的代码库。

Fox IT表示，它在2022年8月22日发现了一个更新的版本2.25，该版本引入了一个功能，当受害者登录其银行账户时，可以虹吸cookie，同时还取消了自动回复带有恶意软件传播链接的传入消息的功能。

通过避免安装SharkBot的可访问性权限，该开发表明运营商正在积极调整技术以避免检测，更不用说面对谷歌新施加的限制，寻找替代方法，以减少API的滥用。

其他值得注意的信息窃取功能包括注入虚假覆盖以获取银行账户凭据、记录击键、拦截SMS消息以及使用自动转账系统 (ATS) 进行欺诈性资金转账。

毫无疑问，恶意软件会构成一种不断演变且无处不在的威胁，尽管苹果和谷歌一直在努力，但应用程序商店很容易在不知不觉中被滥用以进行分发，这些应用程序的开发人员想尽一切办法逃避安全检测。

研究人员Alberto Segura和Mike Stokkel说：“到目前为止，SharkBot的开发人员似乎一直专注于dropper，以便在最新的活动中继续使用Google Play商店来分发他们的恶意软件。”

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文