محققان برنامه‌های مخربی را در فروشگاه Google Play شناسایی کرده‌اند که وانمود می‌کنند آنتی ویروس هستند. این برنامه‌های مخرب مملو از تروجان SharkBot هستند که تلاش می‌کند دستگاه‌های Android را به خطر بیندازد.

بدافزار SharkBot یک دزد اطلاعات است که برای سرقت اطلاعات اعتباری و بانکی از قربانیان استفاده می‌شود.


کمپین آنتی ویروس SharkBot
محققان چک‌پوینت،  این کمپین جدید فعال و در حال اجرا را کشف کرده‌اند.

این تروجان از DGA استفاده می‌کند و پس از نصب، قربانیان را فریب می‌دهد تا اعتبارنامه‌های خود را در پنجره‌های کوچکی که به نظر می‌رسد فرم‌های ورودی معمولی هستند، وارد کنند.

این بدافزار، از سرویس دسترسی‌پذیری اندروید برای نمایش پنجره‌های همپوشانی جعلی در بالای برنامه‌های بانکی قانونی سواستفاده می‌کند.

علاوه بر این، قابلیت پاسخ خودکار به اعلان‌های فیس‌بوک مسنجر و واتس‌اپ را دارد تا لینک‌هایی را به برنامه‌های آنتی ویروس جعلی پخش کند.

علاوه بر این، تروجان بررسی می‌کند که آیا در یک sandbox در حال اجرا است تا روند تجزیه و تحلیل را متوقف کند و از ویژگی geofencing برای جلوگیری از هدف قرار دادن دستگاه‌های در حال استفاده از هند، چین، روسیه، اوکراین، بلاروس و رومانی استفاده می‌کند.

برنامه‌های مخرب
محققان در مجموع شش اپلیکیشن مختلف را در حال انتشار SharkBot کشف کرده‌اند. این برنامه‌ها از سه حساب توسعه دهنده به نام‌های Adelmio Pagnotto، Bingo Like و Zbynek Adamcik آمده‌اند.

با بررسی تاریخچه این حساب‌ها، مشخص شد که دو مورد از آن‌ها در پاییز ۲۰۲۱ فعال بودند. برخی از برنامه‌های مرتبط با این حساب‌ها به جز در مارکت‌های غیر رسمی حذف شده‌اند.

این برنامه‌های مخرب قبل از اینکه گوگل آن‌ها را از Play Store حذف کند، بیش از ۱۵۰۰۰ بار دانلود شده‌اند. همچنین بیشتر قربانیان در ایتالیا و بریتانیا حضور دارند.

نتیجه‌گیری
یک روز در میان، مجرمان سایبری پیدا می‌شوند که به فروشگاه Google Play و پلتفرم‌های مشابه حمله می‌کنند تا روند و دستور کار خود را گسترش دهند، در این مورد، تروجان بانکی SharkBot از آن جمله است. بنابراین، برنامه‌ها را فقط از ناشران قابل اعتماد و تأیید شده نصب کنید و هر گونه برنامه مشکوک را به فروشگاه گزارش دهید. همیشه رفتار این برنامه‌ها را زیر نظر داشته باشید و پس از نصب برنامه روی دستگاه‌ها، قسمت permission را بررسی نمایید.