Antivirus-Apps im Play Store verbreiten Banking-Malware “Sharkbot”

Check Point Research (CPR) fand sechs Anwendungen, die Banking-Malware verbreiten und sich als Anti-Viren-Lösungen ausgaben. Die Malware ist als Sharkbot bekannt.

Die Sicherheitsforscher von Check Point Research (CPR), der Spezialisten-Abteilung von Check Point Software Technologies, ein weltweit führender Anbieter von Cyber-Sicherheitslösungen, entdeckten sechs Anwendungen, die Banking-Malware im Google Play Store verbreiten und sich als Anti-Virus-Anwendungen tarnten.

Anzeige

Check Point Sharkbot Bild1 1000

Bild 1: Die sechs bösartigen Anwendungen.

Die Malware mit dem Namen Sharkbot stiehlt Anmeldedaten und Bank-Informationen von Android-Nutzern. Sharkbotverleitet seine Opfer dazu, ihre Anmeldedaten in Fenster einzugeben, die Formulare zur Eingabe von Anmeldedaten imitieren. Wenn der Benutzer seine Anmeldedaten eingibt, werden diese an einen Server der Hacker gesendet. CPR berichtet, dass die Malware-Autoren eine Geofencing-Funktion implementiert haben, die Gerätebenutzer in China, Indien, Rumänien, Russland, der Ukraine oder Weißrussland ignoriert.

Anzeige

Check Point Sharkbot Bild2 1000

Bild 2: Geofencing-Funktion, wie sie in Sharkbot implementiert ist.

Vier der Anwendungen kamen von drei Entwicklerkonten: Zbynek Adamcik, Adelmio Pagnotto und Bingo Like Inc. Check Point prüfte den Verlauf dieser Konten und konnte dabei feststellen, dass zwei von ihnen im Herbst 2021 aktiv waren. Einige der Anwendungen, die mit diesen Konten verknüpft sind, wurden aus dem Google Play Store entfernt, existieren aber noch auf inoffiziellen Märkten. Dies könnte bedeuten, dass der Akteur hinter den Anwendungen versucht, unter dem Radar zu bleiben, während er immer noch an bösartigen Aktivitäten beteiligt ist. 

Innerhalb einer Woche konnte CPR über 1000 IPs von Opfern zählen. Jeden Tag stieg die Zahl der Opfer um etwa 100. Den Google-Play-Statistiken zufolge wurden die sechs von CPR entdeckten bösartigen Anwendungen über 11 000 Mal heruntergeladen. Stark betroffen ist Europa, die meisten Opfer sind hier in Großbritannien und Italien zu finden.

Check Point Sharkbot Bild3

Bild 3: Prozentuale Anzahl der Opfer nach Land.

Alexander Chailytko, Cyber Security, Research & Innovation Manager bei Check Point Software Technologies, kommentiert:

„Wir haben sechs Anwendungen im Google Play Store entdeckt, die Sharkbot-Malware verbreiten. Diese stiehlt Anmeldedaten und Bank-Informationen. Sie ist offensichtlich sehr gefährlich. Wenn wir uns die Anzahl der Installationen ansehen, können wir davon ausgehen, dass der Hacker mit seiner Methode der Malware-Verbreitung ins Schwarze getroffen hat. Der Bedrohungsakteur wählte strategisch einen Standort für Anwendungen auf Google Play, die das Vertrauen der Nutzer genießen. Bemerkenswert ist auch, dass die Cyber-Kriminellen auch Push-Nachrichten mit bösartigen Links an die Opfer schicken, was zu einer weiten Verbreitung führt. Alles in allem ist die Verwendung von Push-Nachrichten durch die Hacker, die von den Nutzern eine Antwort verlangen, aber eine ungewöhnliche Verbreitungsmethode. Ich denke, es ist wichtig für alle Android-Nutzer, dass sie zweimal nachdenken sollten, bevor sie eine Anti-Viren-Lösung aus dem Play Store herunterladen. Es könnte Sharkbot sein.“

Check Point Sharkbot Bild4 1000

Bild 4: Statistiken zu den Konten der Entwickler – unveröffentlichte Anträge sind markiert.

Nach der Entdeckung der Anwendungen, die Sharkbot verbreiten, hat sich CPR sofort mit Google in Verbindung gesetzt und seine Erkenntnisse mitgeteilt. Nach einer schnellen, aber gründlichen Untersuchung wurden alle Anwendungen, die Sharkbot enthielten, dauerhaft aus dem Google Play Store entfernt. Die Sharkbot-Malware ist jedoch immer noch aktiv. 

Zuschreibung

CPR verfügt nicht über genügend Beweise, um eine Zuordnung vornehmen zu können. Die Sicherheitsforscher können aber davon ausgehen, dass die Malware-Autoren Russisch sprechen. Außerdem führt die Malware ihre bösartigen Funktionen nicht aus, wenn das Gerät in China, Indien, Rumänien, Russland, der Ukraine oder Weißrussland steht.

Sicherheitstipps für Android-Nutzer 

  • Installieren Sie nur Anwendungen von vertrauenswürdigen und verifizierten Anbietern.
  • Wenn Sie eine Anwendung von einem neuen Anbieter sehen, suchen Sie nach parallelen Anwendungen von einem vertrauenswürdigen Anbieter.
  • Melden Sie Google alle verdächtig erscheinenden Anwendungen, auf die Sie stoßen.

Weitere Informationen:

Für technische Details lesen Sie bitte den Blog-Beitrag.

www.checkpoint.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.