Η Check Point Research (HLR) har upptäckt sex ansökningar i Play butik från Google som sprider skadlig programvara genom att låtsas vara antiviruslösningar.
Γkänd som hajbot, skadlig programvara stjäl autentiseringsuppgifter och bankinformation. Under hennes forskning har HLR räknat över 1.000 XNUMX unika IP-adresser adresser till infekterade enheter, främst i Storbritannien och Italien. Men hans statistik Google Play Store avslöjade att de skadliga applikationerna laddades ner mer än 11.000 gånger.
Den hajbot lockar sina offer genom larm tryck och lura användare att ange referenser i miljöer som efterliknar datainmatningsformulär. DE HLR misstänker att hotet är rysktalande och varnar Android-användare runt om i världen att vara extra försiktiga innan de laddar ner antiviruslösningar på Play butik.
- Den 62% av offren hittades i Italien, 36% i UK, 2% i andra länder
- Hotoperatörer har implementerat geografiska stängsel, som ignorerar enhetsanvändare i Kina, Indien, Rumänien, Ryssland, Ukraina och Vitryssland
- HLR rapporterade omedelbart hennes fynd på Google, som tog bort de skadliga programmen
Η Check Point Research (HLR) Han upptäckte sex ansökningar som sprider skadlig programvara för banker i Google Play Butik förklädd som antiviruslösningar. Skadlig programvara, känd som "hajbotStjäl autentiseringsuppgifter och bankinformation från Android-användare. De hajbot lockar sina offer att infoga sina referenser i fönster som efterliknar inloggningsformulär. När en användare anger sina data där, skickas den komprometterade informationen till en skadlig server. DE HLR fann att skapare av skadlig programvara hade implementerat en geolokaliseringsfunktion som ignorerar enhetsanvändare i Kina, Indien, Rumänien, Ryssland, Ukraina eller Vitryssland.
De sex skadliga applikationerna
Fyra av ansökningarna kom från deras tre utvecklarkonton Återstoden Adamcik, Adelmio Pagnotto och Bingo Like Inc. När CPR kollade historiken för dessa konton fann de att två av dem var aktiva hösten 2021. En del av apparna kopplade till dessa konton togs bort från Google Play, men finns fortfarande på informella marknader. Detta kan innebära att personen bakom applikationerna försöker hålla sig "under radarn" samtidigt som han ägnar sig åt skadlig aktivitet.
Offren
HLR kunde samla in statistik under en vecka. Under denna period räknade han mer än 1.000 XNUMX IP-offer. Varje dag ökade antalet offer med cirka 100. Enligt hans statistik Google Play, laddades de sex skadliga applikationer som upptäckts av HLR ned mer än 11.000 XNUMX gånger. De flesta av offren finns i Storbritannien och Italien.
Figur 2,% av offren per land
Attackmetoden
- Motivera användaren att ge åtkomsträttigheter till en applikation
- Efter det får skadlig programvara kontroll över en stor del av offrets enhet
- Hotoperatörer kan också skicka push-varningar till offer som innehåller skadliga länkar
Detaljer om attacken
HLR har inte tillräckligt med data för att tillskriva ansvaret till en specifik plats. Vi kan anta att skadlig programvara talar ryska. Dessutom kommer den skadliga programvaran inte att utföra sin skadliga funktion om enheten är lokalt placerad i Kina, Indien, Rumänien, Ryssland, Ukraina eller Vitryssland.
Vi meddelar ansvarsfullt
Omedelbart efter att ha hittat dessa applikationer som spred Sharkbot meddelade CPR sina resultat för Google. Efter att ha granskat applikationerna fortsatte Google att permanent ta bort dessa applikationer från Google Play Butik. Samma dag som HLR rapporterade fynden till Google, NCC-teamet publiceras en separat forskning för Sharkbot, som citerar en av de skadliga applikationerna.
Hans kommentar Alexander Chailytko, Cyber Security, Research & Innovation Manager, Check Point Software:
Jag tror att det är viktigt för alla Android-användare att veta att de måste vara mycket försiktiga innan de laddar ner någon antiviruslösning från Play Store. Det kan vara Sharkbot.
Säkerhetstips för Android-användare
- Installera endast applikationer från betrodda och verifierade utgivare.
- Om du ser en ansökan från en ny utgivare, leta efter en från en pålitlig.
- Rapportera till Google alla till synes misstänkta applikationer du stöter på.
Glöm inte att följa den Xiaomi-miui.gr vid Google Nyheter för att omedelbart bli informerad om alla våra nya artiklar! Du kan också, om du använder RSS-läsare, lägga till vår sida i din lista, helt enkelt genom att följa denna länk >> https://news.xiaomi-miui.gr/feed/gn
Följ oss på Telegram så att du är den första som får reda på alla våra nyheter!