SharkbotAndroidマルウェアがGooglePlayの偽のウイルス対策アプリに隠れている

セキュリティ研究者は、公式のGoogle Playストアで、ウイルス対策を装っているがマルウェアに感染しているアプリのさらに別のバッチを発見しました。アプリには、Androidデバイスに影響を与えるSharkbotバンキングマルウェアが組み込まれていました。

Check Pointの調査チームは、偽のウイルス対策アプリが削除される前に約15,000回ダウンロードされたことを発見しました。 Googleは、Check Pointが会社にアラートを送信した後でのみ、マルウェアを含むアプリを削除しました。

Sharkbotは珍しいテクニックを使用しています

悪意のあるアプリは「少なくとも6つ」であり、正規のモバイルセキュリティおよびウイルス対策ツールのように見えるように設計されていましたが、現実はまったく逆でした。アプリには、銀行情報とクレデンシャルを盗むために開発されたAndroid株のマルウェアであるSharkbotスティーラーが含まれていました。

チェックポイントによると、SharkbotにはAndroidマルウェアの中で際立った2つの機能があります。それらの最初のものは、マルウェアによるドメイン生成アルゴリズムの使用です。これは、マルウェアが時折いくつかの異なるドメイン名を生成し、それをコマンドアンドコントロールサーバーへの通信のルーティングに使用する機能を指します。

Androidマルウェアには通常見られない2番目の機能は、Sharkbotが使用するジオフェンスです。マルウェアに関連して使用される場合、ジオフェンシングは、悪意のあるソフトウェアが特定の地域と人口統計のみを攻撃し、事実上それらを「フェンシング」するかのように他の地域を回避する能力を表すために使用される用語です。これは、その発生地域またはセキュリティ対策が強化された地域で被害者を攻撃しようとしないマルウェアでよく見られます。

主に西ヨーロッパでの感染症

研究者によって感染したと特定されたデバイスとIPの大部分は西ヨーロッパにあり、主に英国とイタリアの内部にあり、残りの感染のわずか2％が他の地域にありました。

Check Pointは、Androidマルウェアに関するレポートを、毎回エコーするアドバイスで締めくくりました。「信頼できる検証済みの発行元」からのアプリケーションのみをインストールしてください。ただし、公式のGoogle Playストアに潜んでいるAndroidマルウェアがわずか数週間でヘッドラインを飾ったのはこれが2回目であるため、このアドバイスは基本的には正しいものの、すべてのユーザーをあらゆる脅威から保護するのに十分ではありません。