Znaleziono trojana w… aplikacji antywirusowej w Google Play

Najciemniej pod latarnią? W aplikacji antywirusowej w sklepie Google Play wykryto SharkBota, czyli podstępnego trojana, wykradającego informacje dotyczące bankowości (danych logowania do banków, kart kredytowych i nie tylko). Naprawdę trzeba uważać!

SharkBot to zupełnie nowe zagrożenia

Mówiąc dokładniej, SharkBot to trojan bankowy zdalnego dostępu. Po raz pierwszy można było usłyszeć o nim dość niedawno, a mianowicie w październiku 2021 r. To kawał bardzo złośliwego i podstępnego oprogramowania, a do tego zagrożenie całkiem nowe.

Cyberprzestępcy, którzy uzyskali do niego dostęp, ukryli go w… aplikacji antywirusowej “Antivirus, Super Cleaner”. Zdaje się, że po tych doniesieniach zniknęła ona już ze sklepu Google Play. Jeśli byliście jednymi z tych pechowców, którzy ją pobrali, koniecznie jak najszybciej ją odinstalujcie.

Przyda się także skanowanie prawdziwym, bezpiecznym programem antywirusowym, a w skrajnych przypadkach może być potrzebny także reset urządzenia do ustawień fabrycznych – ciężko powiedzieć.

Badacze z Cleafy, którzy go odkryli, stwierdzili, że nie jest to po prostu modyfikacja któregoś z najbardziej znanych trojanów, a coś zupełnie unikalnego. Jedną z najgroźniejszych funkcji SharkBota jest automatyczny system transferu (ATS). Oszuści mogą dzięki niemu automatycznie przenosić pieniądze z kont ofiary, bez konieczności interwencji człowieka.

Jak trojan oszukał zabezpieczenia Google Play?

Można się zastanawiać, jakim cudem Google Play zweryfikowało i dopuściło do obrotu trojana – i to w formie aplikacji antywirusowej. Zdaniem ekspertów było to możliwe dzięki bardzo sprytnej konstrukcji SharkBota.

Jak twierdzą badacze z NCC Group, SharkBot ma trzy “warstwy”. Pierwsza podszywa się pod program antywirusowy i na pierwszy rzut oka nie wzbudza podejrzeń. Druga to zminiaturyzowana wersja SharkBota, która dopiero po zainstalowaniu aplikacji pobiera dodatkowe dane i aktualizuje się do pełnej wersji.

Wtedy powstaje trzecia warstwa, czyli pełnoprawny trojan, który jest zdolny do “podgryzania” kont bankowych niczego niepodejrzewających użytkowników, korzystając m.in. ze wspomnianego automatycznego systemu transferu pieniędzy.

Kiedy tylko SharkBot wykryje, że otworzono aplikację banku, wyświetla zamiast niej nakładkę, imitującą panel logowania. Wtedy też aktywowany jest keylogger, który zbiera dane, jakie użytkownik wpisze, będąc przekonanym, że loguje się normalnie do swojego banku.

Dane te będą następnie przesłane do oszustów. Żeby ukryć swoje podstępne działania przed użytkownikiem, a także potwierdzać przelewy, aplikacja może m.in. przechwytywać i ukrywać wiadomości SMS, a także powiadomienia z aplikacji.

Zagrożenie jest więc naprawdę poważne. Można powiedzieć, że SharkBot praktycznie całkowicie przejmuje kontrolę nad urządzeniem, a użytkownik w pierwszej chwili może nawet się nie domyślić, że tak się stało – ponieważ wszelkie znaki ostrzegawcze będą przed nim ukrywane.

Morał płynie z tego prosty – uważajcie, co pobieracie, nawet (a wręcz zwłaszcza), jeśli chodzi o typy aplikacji, które wydawałyby się godne zaufania!