Android-bestandsbeheer-apps infecteren duizenden met Sharkbot-malware

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
30.561
Reactiescore
8.048
Punten
323
Leeftijd
68
Android-bestandsbeheer-apps infecteren duizenden met Sharkbot-malware

Door Bill Toulas

Android-headpic.jpg


Een nieuwe collectie kwaadaardige Android-apps die zich voordoen als ongevaarlijke bestandsbeheerders zijn geïnfiltreerd in de officiële
Google Play app store en infecteren gebruikers met de Sharkbot banking trojan.

De apps dragen de schadelijke payload niet bij de installatie om detectie te voorkomen wanneer ze op Google Play worden aangeboden,
maar halen deze later op van een externe bron.

Omdat de trojan-apps bestandsbeheerders zijn, is het minder waarschijnlijk dat ze argwaan wekken, wanneer ze gevaarlijke
toestemmingen vragen voor het laden van de Sharkbot-malware.


Valse bestandsbeheerders infecteren Android

Sharkbot is een gevaarlijke malware die online bankrekeningen probeert te stelen door valse aanmeldingsformulieren weer te geven over
legitieme aanmeldingsprompts in bank-apps. Wanneer een gebruiker probeert in te loggen bij zijn bank via een van deze valse formulieren,
worden de gegevens gestolen en naar de dreigingsactoren gestuurd.

De malware is voortdurend in ontwikkeling en verschijnt onder verschillende vormen in de Play Store of wordt geladen vanuit trojan-apps.

In een nieuw rapport van Bitdefender ontdekten analisten de nieuwe Android trojan apps vermomd als bestandsbeheerders en
rapporteerden ze aan Google. Ze zijn sindsdien allemaal uit de Google Play Store verwijderd.

Echter, veel gebruikers die ze eerder hebben gedownload hebben ze mogelijk nog steeds geïnstalleerd op hun telefoon of hebben nog
steeds last van onontdekte resterende malware-infecties.

De eerste schadelijke app is 'X-File Manager' van Victor Soft Ice LLC (com.victorsoftice.llc), die 10.000 keer werd gedownload via
Google Play voordat Google hem uiteindelijk verwijderde.

x-file.png

File Manager op Google Play (Bitdefender)


De app voert anti-emulatiecontroles uit om detectie te ontwijken en zal Sharkbot alleen laden op Britse of Italiaanse sims, dus het is
onderdeel van een gerichte campagne.

De lijst van mobiele bank-apps waar de malware zich op richt wordt hieronder weergegeven, maar zoals Bitdefender opmerkt, kunnen de
bedreigers deze lijst op elk moment op afstand bijwerken.

targeted-banks.png

Banken doelwit van deze Sharkbot-campagne (Bitdefender)


De telemetriegegevens van Bitdefender weerspiegelen de nauwe gerichtheid van deze campagne, aangezien de meeste slachtoffers
van de specifieke Sharkbot-distributiegolf zich in het Verenigd Koninkrijk bevinden, gevolgd door Italië, Iran en Duitsland.

De kwaadaardige app vraagt de gebruiker om risicovolle toestemmingen, zoals het lezen en schrijven van externe opslag,
het installeren van nieuwe pakketten, toegang tot accountgegevens, het verwijderen van pakketten (om sporen te wissen), enz.

Deze toestemmingen lijken echter normaal en verwacht in de context van apps voor bestandsbeheer, zodat gebruikers minder geneigd
zijn om het verzoek met voorzichtigheid te behandelen.

Sharkbot wordt opgehaald als een valse programma-update, die X-File Manager de gebruiker vraagt om goed te keuren alvorens te
installeren.

De tweede kwaadaardige app die de banking trojan installeert is 'FileVoyager' van Julia Soft Io LLC (com.potsepko9.FileManagerApp),

5.000 keer gedownload via Google Play.

filevoyager.png

FileVoyager op Google Play (Bitdefender)


FileVoyager heeft hetzelfde operationele patroon als X-File Manager en richt zich op dezelfde financiële instellingen in Italië en het
Verenigd Koninkrijk.

Een andere Sharkbot-app die door Bitdefender is ontdekt, is 'LiteCleaner M' (com.ltdevelopergroups.litecleaner.m), die 1.000
downloads had voordat hij werd ontdekt en verwijderd uit de Play Store.

Momenteel is deze app alleen beschikbaar via app stores van derden, zoals APKSOS. Dezelfde app store van derden herbergt een
vierde Sharkbot-lader genaamd 'Phone AID, Cleaner, Booster 2.6' (om.sidalistudio.developer.app).

Als deze apps zijn geïnstalleerd, moeten Android-gebruikers ze onmiddellijk verwijderen en de wachtwoorden wijzigen voor alle
online bankrekeningen die ze gebruiken.

Aangezien de bedreigende actoren deze apps rechtstreeks vanuit Google Play hebben verspreid, is de beste manier om uzelf te
beschermen de Play Protect-service ingeschakeld te houden, zodat schadelijke apps worden verwijderd zodra ze worden gedetecteerd.

Bovendien zou een Android-antivirustoepassing voor mobiele beveiliging helpen om schadelijk verkeer en schadelijke apps te detecteren,
zelfs voordat ze aan Google Play worden gemeld.


 
Bovenaan Onderaan