安装SharkBot Android银行特洛伊木马时抓获虚假防病毒和清洁应用程序

臭名昭著的安卓银行特洛伊木马SharkBot伪装成防病毒和更干净的应用程序，再次出现在谷歌Play商店。

NCC集团的Fox IT在一份报告中说：“这种新的dropper不依赖于可访问权限来自动执行dropper Sharkbot恶意软件的安装”。“相反，新版本要求受害者安装恶意软件，作为防病毒软件的假更新，以防止受到威胁”。

问题中的应用程序Mister Phone Cleaner和Kylhavy Mobile Security之间安装了60000多个应用程序，其设计目标是西班牙、澳大利亚、波兰、德国、美国和奥地利的用户-

• 手机清洁器先生（com.mbkristine8.cleanmaster，50000+下载）
• Kylhavy移动安全（com.Kylhavy.antivirus，10000+下载）

Dropper被设计用于丢弃新版SharkBot，由荷兰安全公司ThreatFabric命名为V2，其特点是更新的指挥和控制（C2）通信机制、域生成算法（DGA）和完全重构的代码库。

Fox IT表示，它在2022年8月22日发现了一个更新的版本2.25，该版本引入了一个功能，当受害者登录其银行账户时，可以虹吸Cookie，同时还取消了自动回复带有恶意软件传播链接的传入消息的能力。

通过避免安装SharkBot的可访问性许可，这一发展突出表明，运营商正在积极调整技术，以避免被发现，更不用说面对谷歌新施加的限制，寻找替代方法，以减少API的滥用。

其他值得注意的信息窃取能力包括注入假覆盖以获取银行账户凭证、记录击键、拦截短信以及使用自动转账系统（ATS）进行欺诈性资金转账。

毫不奇怪，恶意软件构成了一种不断演变和无所不在的威胁，尽管苹果和谷歌不断努力，但应用程序商店很容易在不知不觉中被滥用以进行分发，这些应用程序的开发人员想尽一切办法逃避安全检查。

研究人员阿尔贝托·塞古拉（Alberto Segura）和迈克·斯托克尔（Mike Stokkel）表示：“到目前为止，SharkBot的开发者似乎一直在关注滴管，以便在最近的活动中继续使用谷歌Play Store分发恶意软件”。