Аналитики Check Point обнаружили, что Android-вредонос SharkBot вновь пробрался в Google Play Store, маскируясь под антивирусные приложения. На этот раз малварь распространялась через три учетные записи разработчиков (Zbynek Adamcik, Adelmio Pagnottoи Bingo Like Inc), причем две из них были активны еще осенью 2021 года.

Напомню, что ранее о SharkBot сообщали эксперты NCC Group. Они рассказывали, что малварь обычно маскируется под антивирусы, на самом деле похищая деньги у установивших приложение пользователей. SharkBot, как и его аналоги TeaBot, FluBot и Oscorp (UBEL), относится к категории банковских троянов, способных похищать учетные данные со взломанных устройств и обходить механизмы многофакторной аутентификации. Впервые малварь появилась на сцене еще осенью 2021 года.

В отчете NCC Group подчеркивалось, что отличительной чертой SharkBot является его способность выполнять несанкционированные транзакции через системы автоматического перевода средств (Automatic Transfer System, ATS), что, к примеру, отличает его от TeaBot, который требует, чтобы с зараженными устройствами для выполнения вредоносных действий взаимодействовал живой оператор.

Теперь специалисты Check Point дополнили анализ NCC Group новыми данными. Они пишут, что малварь, вновь замеченная в Google Play Store, не заражает пользователей из Китая, Индии, Румынии, России, Украины и Беларуси. При этом шесть вредоносных приложений, найденных исследователями, были установлены более 15 000 раз до их удаления, а большинство жертв находились в Италии и Великобритании.

Также они заметили, что SharkBot обладает весьма необычным механизмом самораспространения: он способен автоматически отвечать на уведомления из Facebook Messenger и WhatsApp, распространяя среди контактов жертвы вредоносные ссылки на свои фейковые антивирусные приложения.

Отдельно отмечается, что малварь использует DGA (Domain generation algorithm) для связи со своими управляющими серверами, что довольно редко встречается среди вредоносов для Android.

Источник: xakep