Вредоносная программа Sharkbot возвращается в Google Play, чтобы укусить новых жертв, удалите эти приложения сейчас

Вредоносная программа sharkbot возвращается в новости Google Play
Неприятное вредоносное ПО для Android, ранее скрывавшееся в магазине Google Play, вернулось с дополнительными возможностями. Вредоносное ПО, известное как SharkBot , предназначено для кражи учетных данных пользователей, в частности учетных данных, используемых для доступа к финансовым приложениям. Также было обнаружено, что вредоносное ПО инициирует денежные переводы непосредственно на зараженных устройствах.

SharkBot злоупотребляет разрешениями доступа несколькими способами для выполнения своих злонамеренных действий. Вредоносное ПО может украсть учетные данные пользователя, записывая текст, введенный в поля входа. Если учетная запись пользователя защищена двухфакторной аутентификацией по SMS (2FA), SharkBot может обойти эту защиту, читая SMS-сообщения для кражи кодов аутентификации. Вредоносное ПО также способно накладывать поддельные экраны входа непосредственно на целевые финансовые приложения . Поддельные экраны входа кажутся законными, но на самом деле крадут введенные учетные данные пользователя. Кроме того, злоумышленники могут использовать SharkBot для удаленного управления зараженными устройствами. Все эти возможности достаточно пугающие, но новая версия SharkBot вышла в дикую природу с дополнительной возможностью воровать файлы cookie сеанса пользователя.

приложения-дропперы акулботов
Недавно было обнаружено, что списки Play Store для двух приложений включают SharkBotDropper (источник: Fox IT )

Злоумышленники распространяют вредоносное ПО, отправляя приложения в магазин Google Play, которые поставляются вместе с утилитой удаления вредоносных программ. Как только ничего не подозревающий пользователь устанавливает одно из этих приложений, дроппер обращается к серверу управления и контроля (C2) и загружает полную полезную нагрузку вредоносного ПО SharkBot. Предыдущие версии SharkBotDropper злоупотребляли службами специальных возможностей для автоматической установки полезной нагрузки вредоносного ПО. Однако недавно исследователи из Fox IT обнаружили новую версию дроппера, который предлагает пользователям самим установить вредоносное ПО, ложно информируя пользователей о том, что APK-файл содержит обновление приложения.

Исследователи обнаружили в магазине Google Play два приложения, которые содержат этот обновленный дроппер: Mister Phone Cleaner и Kylhavy Mobile Security. Между ними два приложения имеют в общей сложности 60 000 загрузок. На момент написания статьи Google, по-видимому, удалил приложение Kylhavy Mobile Security из Play Store, но еще не исключил Mister Phone Cleaner. Надеемся, что Google вскоре удалит последнее приложение, но удаление приложения из Play Store не приведет к его удалению с устройств затронутых пользователей. Те, у кого эти вредоносные приложения уже установлены на их устройствах, должны будут вручную удалить сами приложения.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал