Check Point odhalil v obchodě Google Play 6 nebezpečných aplikací, které šířily bankovní malware a vydávaly se za antivirová řešení. Malware Sharkbot krade přihlašovací údaje a bankovní informace.
Sharkbot používá push notifikace a snaží se nalákat oběti, aby zadaly své přihlašovací údaje do věrohodně vypadajících formulářů. Jakmile uživatel data zadá, malware je odešle na servery útočníků.
1. Uživatelé jsou nejdříve požádání, aby aplikaci udělili speciální práva.
2. Malware následně získá kontrolu nad velkou částí zařízení.
3. Útočníci mohou obětem zasílat push notifikace obsahující škodlivé odkazy.
Malware zároveň nespustí škodlivé funkce, pokud se zařízení nachází v Číně, Indii, Rumunsku, Rusku, na Ukrajině nebo v Bělorusku.
Check Point detekoval během jednoho týdne více než 1 000 unikátních IP adres infikovaných zařízení, většinou se jednalo o Velkou Británii a Itálii, ale zasaženi byli i uživatelé v dalších zemích. Statistiky Google Play ukazují, že celkově byly nebezpečné aplikace stažené více než 15 000krát. Z vyšetřování vyplývá, že útočníci mluví rusky, ale zatím chybí další důkazy pro bližší určení konkrétní skupiny.
Aplikace pochází od tří vývojářů: Zbynek Adamcik, Adelmio Pagnotto a Bingo Like Inc. Některé aplikace spojené s těmito účty byly již dříve z Google Play odstraněny, ale stále je lze najít v nabídce neoficiálních obchodů. Útočníci se tak nadále snaží šířit malware, ale zároveň na sebe nechtějí příliš upozorňovat.
Check Point o aplikacích šířících malware Sharkbot informoval společnost Google, která aplikace z obchodu Google Play odstranila.