Mye skadevare skjuler den ondsinnede aktiviteten sin bak tilsynelatende nyttig funksjonalitet, og det har vi nå fått et nytt, godt eksempel på. Check Point Research har avdekket antivirus-applikasjoner på Google Play med høyst tvilsomme egenskaper.
Sikkerhetsselskapet identifiserte nylig seks antivirus-applikasjoner på Googles appbutikk som i det skjulte samlet inn sensitive bankdata fra kundene. Appene skal nå være fjernet fra butikken av Google.
Falske utfyllingsskjemaer
De tilsynelatende legitime antivirusprogrammene var i realiteten en skadevare ved navn Sharkbot, som allerede har blitt omtalt av en rekke sikkerhetsforskere- og selskaper den siste tiden.
– Sharkbot lurer ofre til å fylle inn data i vinduer som etterligner legitime utfyllingsskjemaer. Når brukeren skriver inn informasjonen i disse vinduene, blir de kompromitterte dataene sendt til en ondsinnet server, skriver Check Point i sin omtale.
De fleste av ofrene for skadevaren befinner seg i Europa, primært Storbritannia og Italia, men det kan også befinne seg ofre i andre land.
Sikkerhetsselskapet NCC Group omtalte Sharkbot i mars, like etter at Check Point avslørte funnene sine til Google. Ifølge NCC har skadevaren, i tillegg til ovennevnte egenskaper, også keylogger-funksjonalitet – som betyr at den kan stjele sensitive data ved å loggføre tastetrykk.
Den kan også avskjære SMS-meldinger, og dessuten er skadevaren i stand til å la hackere fjernkontrollere Android-enheter via tilgjengelighetstjenestene (Accessibility Services).
I tillegg til å spres gjennom antivirusapper på Google Play, benytter Sharkbot seg også av en annen, mer uvanlig metode – «direct reply»-funksjonen i Android.
– Merkelig metode
Bakmennene utnytter denne funksjonen ved at Sharkbot avskjærer nye varslinger, og automatisk svarer med en melding mottatt fra C2-serveren (command & control). Denne meldingen inneholder en nedlastingslenke til de ondsinnede antivirusprogrammene, forklarer NCC Group.
Sharkbot kan motta mange ulike instruksjoner fra C2-serveren, deriblant sending av tekstmeldinger, laste ned filer, avinstallere applikasjoner og mer. SIkkerhetsselskapet Cleafy, som også omtalte skadevaren, sier at Sharkbot også er svært vanskelig for antivirusprogrammer å oppdage.
Check Points norske avdeling sier at teknikkene som Sharkbot bruker er meget ukonvensjonelle.
- Sharkbot stjeler legitimasjon og bankinformasjon. Det er åpenbart veldig farlig. Disse trusselaktørene valgte strategisk plassering av apper på Google Play som har brukernes tillit. Det merkelige her er at trusselaktørene sender meldinger til ofre som inneholder ondsinnede lenker, noe som fører til mer utbredt adopsjon. Bruk av push-meldinger fra trusselaktører som ber om svar fra brukere er en uvanlig spredningsteknikk, sa teknologisjef i Check Point Norge, Erling Schackt, i en pressemelding.
Mer informasjon kan du finne hos Check Point Research og NCC Group.