研究人員發(fā)現(xiàn)，竊取信息的Android惡意軟件Sharkbot通過(guò)防病毒解決方案的掩護(hù)悄悄地潛藏在Google Play商店的深處，給用戶(hù)帶來(lái)了極大的危險(xiǎn)。事件起源于Check Point Research（CPR）團(tuán)隊(duì)在分析商店中的可疑應(yīng)用程序時(shí)，發(fā)現(xiàn)了潛伏已久的惡意軟件。該軟件偽裝成防病毒解決方案，可以下載和安裝惡意軟件，并憑借此外表從Android設(shè)備中竊取用戶(hù)的憑據(jù)、銀行信息以及具有其他一系列眾多的其他獨(dú)特功能。

CPR研究人員Alex Shamsur和Raman Ladutska在周四發(fā)布的一份報(bào)告中聲明：Sharkbot通過(guò)引誘受害者在模仿良性證書(shū)的鏈接窗口中輸入證書(shū)信息，而當(dāng)用戶(hù)在這些窗口中輸入信息憑據(jù)后，相關(guān)的數(shù)據(jù)將被直接發(fā)送到惡意服務(wù)器。研究人員在檢查的過(guò)程中發(fā)現(xiàn)了六個(gè)不同的應(yīng)用程序，包括名為Atom Clean-Booster、Antivirus、Antvirus Super Cleaner和Center Security-Antivirus的應(yīng)用程序。這些應(yīng)用程序分別來(lái)自于三個(gè)開(kāi)發(fā)人員帳戶(hù)——Zbynek Adamcik、Adelmio Pagnotto和Bingo Like Inc.——其中至少有兩個(gè)賬戶(hù)在去年秋天尤為活躍。研究人員梳理的時(shí)間表也顯示了他們的活動(dòng)軌跡，因?yàn)镾harkbot于11月才首次出現(xiàn)在研究人員的觀察網(wǎng)上。

研究人員同時(shí)表示：一些與這些帳戶(hù)關(guān)聯(lián)的應(yīng)用程序已被從Google Play中刪除，但是卻仍然存在于非官方市場(chǎng)中。這意味著這些惡意應(yīng)用程序背后的行為者仍然在試圖參與惡意活動(dòng)，因此需要我們時(shí)刻保持警惕。谷歌公司雖然已經(jīng)刪除了這些違規(guī)應(yīng)用程序，但在仍然有約15,000人次進(jìn)行了下載和安裝。其實(shí)從分布人群也可以看出的主要目標(biāo)就像以前一樣還是以英國(guó)和意大利的用戶(hù)為主。

Sharkbot的不同之處

CPR研究人員表示，他們通過(guò)對(duì)Sharkbot的應(yīng)用模式進(jìn)行分析觀察發(fā)現(xiàn)，Sharkbot不僅應(yīng)用了典型的信息竊取策略，它還具備了與典型Android惡意軟件不同的特征。研究人員認(rèn)為Sharkbot使用了一種地理區(qū)分功能，它可以根據(jù)地理區(qū)域選擇所攻擊的用戶(hù)，同時(shí)可以忽略來(lái)自中國(guó)、印度、羅馬尼亞、俄羅斯、烏克蘭或白俄羅斯的用戶(hù)。同時(shí)研究人員還指出，Sharkbot擁有一些更為靈活的技術(shù)。一方面若Sharkbot檢測(cè)到它正在沙箱（計(jì)算機(jī)安全領(lǐng)域中用于安全的運(yùn)行程序機(jī)制）中運(yùn)行時(shí)，它將停止執(zhí)行并退出。Sharkbot的另一個(gè)獨(dú)特標(biāo)志是它會(huì)利用域名生成算法（DGA），這是Android平臺(tái)惡意軟件中很少使用的技術(shù)。研究表示他們使用DGA，進(jìn)而每周能夠生成七個(gè)域名，包括研究員觀察到的所有種子和算法，每周共有56個(gè)域名，即8種不同的算法組合。因此研究人員在他們的研究中觀察到了27個(gè)版本的Sharkbot，而這些版本之間的最主要區(qū)別就是擁有不同的DGA種子以及不同的botnetID和ownerID字段。

總而言之，Sharkbot能夠發(fā)送22個(gè)命令，進(jìn)而允許網(wǎng)絡(luò)攻擊者在用戶(hù)的Android設(shè)備上執(zhí)行各種惡意操作包括：請(qǐng)求發(fā)送短信的權(quán)限；卸載已下載的應(yīng)用程序；將設(shè)備的聯(lián)系人列表發(fā)送到服務(wù)器；禁用電池優(yōu)化，以便Sharkbot可以在后臺(tái)運(yùn)行；以及模仿用戶(hù)在屏幕上的滑動(dòng)。

活動(dòng)時(shí)間表

CPR研究人員于2月25日在Google Play上首次發(fā)現(xiàn)了含有Sharkbot病毒釋放器的四個(gè)應(yīng)用程序，此后不久于3月3日向谷歌報(bào)告了他們的發(fā)現(xiàn)。谷歌在發(fā)現(xiàn)安全漏洞后于3月9日刪除了這些應(yīng)用程序，但六天后，即3月15日，又發(fā)現(xiàn)了另一個(gè)Sharkbot病毒釋放器。并且在3月22日和3月27日又發(fā)現(xiàn)了兩個(gè)Sharkbot木馬病毒釋放器，他們也迅速向谷歌報(bào)告要及時(shí)予以移除。

研究人員表示，Sharkbot木馬病毒釋放器本身應(yīng)該引起關(guān)注。他們認(rèn)為：正如他們可以從病毒釋放器的功能來(lái)判斷的那樣，它們顯然本身存在的各種可能性構(gòu)成了威脅，我們的應(yīng)對(duì)手段不能僅僅只是丟棄惡意軟件。

具體而言，研究人員發(fā)現(xiàn)Sharkbot病毒釋放器偽裝成以下應(yīng)用程序在Google Play上。

• com.abbondioendrizzi.tools[.]超級(jí)清潔劑。
• com.abbondioendrizzi.antivirus.supercleaner。
• com.pagnotto28.sellsourcecode.alpha。
•  com.pagnotto28.sellsourcecode.supercleaner。
• com.antivirus.centersecurity.freeforall。
• com.centersecurity.android.cleaner。

研究人員指出，這些病毒釋放器也有一些獨(dú)特的規(guī)避檢測(cè)策略，例如檢測(cè)模擬器，如果它們發(fā)現(xiàn)了模擬器則會(huì)自動(dòng)退出。他們還能夠檢查設(shè)備的所有用戶(hù)界面并采取相對(duì)的行動(dòng)，比如替換其他應(yīng)用程序發(fā)送的通知。研究人員補(bǔ)充道：此外，Sharkbot可以安裝在從CnC下載的APK（安卓安裝包）上，這也為用戶(hù)在設(shè)備上安裝此類(lèi)應(yīng)用程序后立即傳播惡意軟件提供了一個(gè)方便的途徑。

Google Play持續(xù)受到攻擊

長(zhǎng)期以來(lái)，谷歌一直在努力解決其Android應(yīng)用程序商店里存在的惡意應(yīng)用程序和惡意軟件，并為清理這些惡意軟件做出了重大努力。然而一位安全專(zhuān)業(yè)人士指出，偽裝成防病毒解決方案出現(xiàn)的Sharkbot表明，攻擊者在如何隱藏平臺(tái)上的惡意活動(dòng)方面越來(lái)越狡猾，這些現(xiàn)象的存在可能會(huì)損害用戶(hù)對(duì)Google Play的信心。

安全公司Cerberus Sentinel解決方案架構(gòu)副總裁Chris Clements在給Threatpost的電子郵件中表示：在應(yīng)用程序?qū)彶檫^(guò)程中，通過(guò)時(shí)間延遲、代碼混淆和地理位置區(qū)分來(lái)隱藏其惡意功能的惡意軟件應(yīng)用程序?qū)⑹沟梅谰W(wǎng)絡(luò)攻擊更具有挑戰(zhàn)性，而潛伏在官方應(yīng)用程序商店中也確實(shí)損害了用戶(hù)對(duì)谷歌平臺(tái)上所有應(yīng)用程序安全性的信任。他還認(rèn)為，智能手機(jī)是人們數(shù)字生活的中心，并且也是金融、個(gè)人和工作活動(dòng)的樞紐，任何損害此類(lèi)中央設(shè)備安全的惡意軟件都可能造成用戶(hù)的重大財(cái)務(wù)損失或聲譽(yù)損害。

而另一位安全專(zhuān)業(yè)人士則敦促Android用戶(hù)在決定是否從信譽(yù)良好的供應(yīng)商商店下載移動(dòng)應(yīng)用程序時(shí)要謹(jǐn)慎，即使它是一個(gè)值得信賴(lài)的品牌。

KnowBe4的安全意識(shí)倡導(dǎo)者James McQuiggan提醒廣大用戶(hù)在安裝來(lái)自各種技術(shù)商店的應(yīng)用程序時(shí)，最好在下載應(yīng)用程序之前對(duì)其進(jìn)行詳細(xì)的研究。因?yàn)榫W(wǎng)絡(luò)犯罪分子喜歡誘騙用戶(hù)安裝具有隱藏功能的惡意應(yīng)用程序，以此試圖竊取數(shù)據(jù)或接管帳戶(hù)。

本文翻譯自：https://threatpost.com/google-play-bitten-sharkbot/179252/如若轉(zhuǎn)載，請(qǐng)注明原文地址。