SharkBot银行恶意软件通过谷歌Play Store上的假安卓防病毒应用程序传播

一个名为SharkBot的新兴安卓银行特洛伊木马背后的威胁者伪装成防病毒应用程序，成功规避了谷歌Play商店的安全壁垒。

SharkBot的与众不同之处在于，它能够通过自动传输系统（ATS）执行未经授权的交易，而自动传输系统（ATS）与TeaBot形成对比，TeaBot需要一名实时操作员与受感染的设备进行交互，以进行恶意活动。

网络安全公司NCC Group的恶意软件分析师阿尔贝托·塞古拉（Alberto Segura）和罗尔夫·戈弗斯（Rolf Govers）在上周发布的一份报告中表示：“ATS功能允许恶意软件接收一系列要模拟的事件，并将对它们进行模拟，以便进行资金转账。”。

“由于这些功能可用于模拟触摸/点击和按钮按下，因此它不仅可用于自动转账，还可用于安装其他恶意应用程序或组件。”

换言之，ATS被用于通过模拟用户将执行的相同动作序列（如按键、点击和手势）来欺骗目标银行的欺诈检测系统，以进行非法转账。

2月28日在Google Play Store上发现的最新版本是一些dropper应用程序，它们还利用Android的直接回复功能将自身传播到其他设备，这使其成为继FluBot之后第二个拦截可编程攻击通知的银行特洛伊木马。

该恶意应用列表于2月10日更新，迄今已累计安装约57000次–；

• 防病毒，超级清洁（com.abbondiaendrizzi.Antivirus.supercleaner）和#8211；1000多次安装
• Atom Clean Booster、Antivirus（com.abbondiaendrizzi.tools.supercleaner）和#8211；500多次安装
• Alpha Antivirus，Cleaner（com.pagnotto28.sellsourcecode.Alpha）和#8211；5000多次安装，以及
• 强大的清洁剂、防病毒软件（com.pagnotto28.sellsourcecode.supercleaner）和#8211；50000多次安装

SharkBot的另一个特点是，它使对手能够在官方银行应用程序上注入欺诈性覆盖，以窃取凭证、记录击键，并获得对设备的完全远程控制，但前提是受害者授予其可访问性服务权限。

一周前，Cleafy的研究人员披露了Play Store中发现的一种新的TeaBot变体的详细信息，该变体旨在针对400多个银行和金融应用程序的用户，包括来自俄罗斯、中国和美国的用户。