这些Dropper应用程序在游戏商店的目标是超过200个银行和加密货币钱包

在谷歌Play商店上发现了五款恶意投放Android应用程序，累计安装量超过130000次，这些应用程序分发SharkBot和Vultur等银行木马，能够窃取金融数据并在设备上进行欺诈。

荷兰移动安全公司ThreatFabric在一份声明中告诉《黑客新闻》：“这些滴管继续了恶意应用程序潜入官方商店的势不可挡的演变”。

“这种演变包括遵循新引入的策略，伪装成文件管理器，并通过web浏览器侧加载恶意负载来克服限制”。

这些删除者的目标包括来自意大利、英国、德国、西班牙、波兰、奥地利、美国、澳大利亚、法国和荷兰金融机构的231个银行和加密货币钱包应用程序。

像Google Play这样的官方应用商店上的Dropper应用程序已经越来越成为一种流行而有效的技术，将银行恶意软件分发给不知情的用户，即使这些活动背后的威胁参与者不断改进策略，以绕过谷歌的限制。

恶意应用列表如下，其中四个仍在数字市场上可用-

• 税码2022（com.iatalytaxcode.app）-10000+下载
• File Manager Small，Lite（com.paskevicss752.userf）-零下载
• My Finances Tracker（com.all.finance.plus）-1000多次下载
• 恢复音频，图像&amp；视频（com.umac.recoviralfilepro）-下载量超过100000
• Zetter Authenticator（com.Zetter.fastchecking）-10000多次下载

自2022年10月初以来，针对意大利银行用户的最新一波SharkBot攻击使用了伪装成的滴管来确定该国的税法（“Codice Fiscale 2022”）。

虽然谷歌的开发者程序政策限制了REQUEST_INSTALL_PAGEAGES权限的使用，以防止其被滥用来安装任意的应用程序包，但滴管一旦启动，就会绕过这一障碍，打开假冒应用程序列表的Google Play商店页面，导致以更新为幌子下载恶意软件。

将恶意软件检索外包给浏览器并不是犯罪行为人采用的唯一方法。在ThreadFabric发现的另一个例子中，滴管冒充文件管理器应用程序，根据谷歌修改后的政策，这是一个允许拥有REQUEST_INSTALL_PAGEAGES权限的类别。

此外，还发现了三个滴管，它们提供了广告中的功能，但也带有一个隐蔽功能，提示用户在打开应用程序时安装更新，并授予他们从未知来源安装应用程序的权限，从而导致Vultur的交付。

该木马的新变种以增加了广泛记录用户界面元素和交互事件（例如，点击、手势等）的功能而闻名，ThreadFabric表示，这可能是银行应用程序使用FLAG_SECURE窗口标志的一种变通方法，以防止它们在屏幕截图中被捕获。

ThreatFabric的调查结果还来自Cyble发现的Drinik Android木马升级版本，该木马以18家印度银行为目标，模仿该国官方税务部门的应用程序，通过滥用无障碍服务API获取个人信息。

该公司指出：“对于大多数不同级别的演员来说，通过Google Play上的滴管分发仍然是最‘实惠’、最可扩展的方式”。

“虽然电话导向的攻击传递等复杂策略需要更多的资源，而且难以扩展，但官方和第三方商店上的滴管可以让威胁行为人通过合理的努力接触到广大毫无戒心的受众”。