Gleich sieben bösartige Android-Apps, die im Google Play Store entdeckt wurden, gaben sich als Antivirenlösungen aus, um einen Banking-Trojaner namens SharkBot zu installieren.
„SharkBot stiehlt Anmeldedaten und Bankinformationen“, so die Check Point-Forscher Alex Shamshur und Raman Ladutska in einem Bericht, der The Hacker News vorliegt. „Diese Malware verfügt über eine Geofencing-Funktion und Umgehungstechniken, wodurch sie sich von anderen Malwares abhebt.“
Die Malware ist so konzipiert, dass sie vor allem Nutzer aus China, Indien, Rumänien, Russland, der Ukraine und Weißrussland ignoriert. Die Schurken-Apps sollen vor ihrer Entfernung mehr als 15.000 Mal installiert worden sein, wobei sich die meisten Opfer in Italien und Großbritannien befanden.
Der Bericht ergänzt frühere Erkenntnisse der NCC Group, die herausfand, dass der Bankbot sich als Antivirus-App ausgibt, um unerlaubte Transaktionen über automatische Transfersysteme (ATS) durchzuführen.
SharkBot nutzt die Zugriffsberechtigungen der Zugänglichkeitsdienste aus, um gefälschte Overlay-Fenster über legitime Banking-Apps zu legen. Wenn ahnungslose Nutzer/innen ihre Benutzernamen und Passwörter in die Fenster eingeben, die harmlose Formulare für die Eingabe von Zugangsdaten imitieren, werden die erfassten Daten an einen bösartigen Server gesendet.
Eine neue, bemerkenswerte Funktion von SharkBot ist die Fähigkeit, automatisch auf Benachrichtigungen von Facebook Messenger und WhatsApp zu antworten, um einen Phishing-Link an die Antiviren-App zu schicken und so die Malware wurmartig zu verbreiten. Eine ähnliche Funktion wurde bereits im Februar dieses Jahres in FluBot eingebaut.
Die neuesten Erkenntnisse kommen zu einem Zeitpunkt, an dem Google am 25. März 11 Apps aus dem Play Store verbannt hat, nachdem sie dabei erwischt wurden, wie sie ein invasives SDK eingebaut hatten, um diskret Nutzerdaten zu sammeln, darunter genaue Standortinformationen, E-Mail- und Telefonnummern, Geräte in der Nähe und Passwörter.
„Bemerkenswert ist auch, dass die Bedrohungsakteure den Opfern Nachrichten mit bösartigen Links schicken, was zu einer weit verbreiteten Nutzung führt“, sagt Alexander Chailytko, Manager für Cybersicherheit, Forschung und Innovation bei Check Point Software.
„Alles in allem ist die Verwendung von Push-Nachrichten durch die Bedrohungsakteure, die von den Nutzern eine Antwort verlangen, eine ungewöhnliche Verbreitungsmethode.“