Sześć aplikacji w sklepie Google Play udawało antywirusy. Zawierały malware

Anna BorzęckaSkomentuj
Sześć aplikacji w sklepie Google Play udawało antywirusy. Zawierały malware
Na początku marca informowaliśmy o tym, iż ze sklepu Google Play usunięto aplikację, która udawała program antywirusowy. Ta zamiast chronić smartfony pobierała na nie złośliwe oprogramowanie – trojana bankowego SharkBot. Teraz okazuje się, że podobnych aplikacji było więcej, co odkryli badacze z firmy Check Point.

Nie antywirus, a koń trojański

W sumie w swoim raporcie badacze z firmy Check Point wymienili sześć fałszywych aplikacji antywirusowych, w tym tę odkrytą wcześniej w marcu – Antivirus, Super Cleaner. Pozostałe to Atom Cleaner-Booster, Antivirus; Alpha Antivirus, Cleaner; Powerful Cleaner, Antivirus oraz dwie o tej samej nazwie: Center Seciurity – Antivirus. W sumie pobrano je ponad 15 tysięcy razy, zanim Google usunęło je ze swojej platformy cyfrowej dystrybucji.

Każda z wymienionych aplikacji rzecz jasna w rzeczywistości nie pełniła funkcji antywirusa. Zamiast tego była dropperem. Dropper to program zaprojektowany w celu uzyskiwania złośliwego kodu z zewnętrznego źródła i instalowania go na urządzeniu użytkownika. Tego typu aplikacje w przeszłości służyły (i często dalej służą) na przykład do rozpowszechniania trojanów Alien, Hydra czy Flubot. Omawiane aplikacje „antywirusowe” instalowały zaś na smartfonach i tabletach z Androidem trojana bankowego SharkBot.

aplikacje-malware

Aplikacje ze sklepu Google Play, które okazały się dropperami trojana SharkBot. | Źródło: Check Point

Trojan SharkBot – sposób działania

Jak wiele innych trojanów bankowych, SharkBot przechwytuje bankowe dane uwierzytelniające. Robi to na kilka sposobów. Po pierwsze nakłada swoje niewidzialne okno na okna innych otwartych aplikacji. Nie podejrzewając, że cokolwiek jest nie tak, użytkownicy wpisują w swoich aplikacjach bakowych dane logowania i nie tylko, a trojan wszystko to rejestruje i przesyła hakerom. SharkBot przechwytuje też i ukrywa SMS-y, a nawet rejestruje uderzenia w wirtualne klawisze.

Co najgorsze, SharBot potrafi uzyskać pełną zdalną kontrolę nad smartfonem z systemem Android, by inicjować na rzecz hakerów transfery pieniężne. Może on nawet obchodzić mechanizmy weryfikacji dwuskładnikowej i biometrycznej. Wszystko to sprawia, że trojan ten jest niezwykle groźny.

Szkody zostały dokonane

W większości ofiarami trojana SharkBot były dotychczas osoby mieszkające w Wielkiej Brytanii i we Włoszech. Co najciekawsze, malware wykorzystuje technologię geofencingu, by ignorować użytkowników w Chinach, Indiach, Rumunii, Rosji, Ukrainie oraz Białorusi.

Jak wspomniałam, wymienione aplikacje już zostały ze sklepu Google Play usunięte. Ale jak się do niego w ogóle dostały? Udało im się to, ponieważ aktywowały swój złośliwy kod dopiero po pobraniu i komunikacji z serwerem.

Jeżeli zainstalowałeś którąkolwiek z fałszywych aplikacji antywirusowych na swoim urządzeniu, koniecznie natychmiast ją usuń. Niemniej jednak, sama jej deinstalacja raczej nie wystarczy, by pozbyć się trojana SharkBot. Musisz także całkowicie wyczyścić pamięć telefonu i przywrócić jego ustawienia fabryczne.

Źródło: Check Point, fot. tyt. Canva

Udostępnij

Anna BorzęckaSwoją przygodę z dziennikarstwem rozpoczęła w 2015 roku. Na co dzień pisze o nowościach ze świata technologii i nauki, ale jest również autorką felietonów i recenzji. Chętnie testuje możliwości zarówno oprogramowania, jak i sprzętu – od smartfonów, przez laptopy, peryferia komputerowe i urządzenia audio, aż po małe AGD. Jej największymi pasjami są kulinaria oraz gry wideo. Sporą część wolnego czasu spędza w World of Warcraft, a także przyrządzając potrawy z przeróżnych zakątków świata.