Sex falska antivirusappar har tagits bort från Google Plays appbutik eftersom de i stället för att skydda användare från cyberbrottslingar faktiskt användes för att leverera skadlig programvara för att stjäla lösenord, bankuppgifter och annan personlig information från Android-användare.
Skadliga appar har beskrivits av cybersäkerhetsforskare vid Check Point, som säger att de laddades ner från Googles officiella appmarknad av över 15 000 användare som ville skydda sina enheter, som istället blev infekterade med Sharkbot Android-skadlig programvara.
Sharkbot är designat för att stjäla användarnamn och lösenord, vilket görs genom att locka offer att ange sina referenser i överlagrade fönster som skickar informationen tillbaka till angriparna, som kan använda den för att få tillgång till e-post, sociala medier, bankkonton online och mer.
De sex skadliga appar som hittats av forskare syftade till att locka Android-användare som söker efter antivirus-, renare- och säkerhetsappar.
SER: Cybersäkerhet: Låt oss bli taktiska (ZDNet specialrapport)
Det är möjligt att offren skickades till nätfiske-länkar som ledde dem till nedladdningssidorna för de Sharkbot-angripna apparna. Apparna kunde kringgå skydden i Google Play Store eftersom skadligt beteende i apparna inte aktiverades förrän efter att de hade laddats ner av en användare och appen har kommunicerat tillbaka till servrar som drivs av angriparna.
“Vi tror att de kunde göra det eftersom alla skadliga åtgärder utlöstes från C&C-servern, så appen kunde stanna i “AV”-läget under en testperiod i Google Play och slå “PÅ” när de kommer till användares enheter, säger Alexander Chailytko cybersäkerhet, forsknings- och innovationschef på Check Point Software till ZDNet.
Enligt analys av skadlig programvara kommer Sharkbot inte att infektera alla som laddar ner den – den använder en geofencing-funktion för att identifiera och ignorera användare från Kina, Indien, Rumänien, Ryssland, Ukraina eller Vitryssland. Samtidigt verkar de flesta offren som laddade ner Sharkbot vara i Storbritannien och Italien.
Efter att ha identifierat apparna avslöjade Check Point resultaten för Google, som har tagit bort de sex apparna från Google Play Butik. Medan de Sharbot-infekterade apparna har tagits bort från Googles officiella marknadsplats, förblir de aktivt tillgängliga på tredje parts webbplatser, så användare kan fortfarande potentiellt luras att ladda ner dem. ZDNet har bett Google om en kommentar och kommer att uppdatera den här historien om vi får ett svar.
Alla som misstänker att de har laddat ner en skadlig app bör omedelbart avinstallera den, ladda ner ett legitimt antivirusprogram för att skanna sin enhet och ändra eventuella lösenord på konton som kan ha blivit stulna. Om det finns någon osäkerhet om vad som ska laddas ner eller om en app är legitim, kan titta på användarrecensioner hjälpa till att ge en tydligare bild som om appen inte är legitim, recensioner säger ofta det.
CYBERSÄKERHET
