研究人员发现，窃取信息的Android恶意软件Sharkbot通过防病毒解决方案的掩护悄悄地潜藏在Google Play商店的深处，给用户带来了极大的危险。事件起源于Check Point Research（CPR）团队在分析商店中的可疑应用程序时，发现了潜伏已久的恶意软件。该软件伪装成防病毒解决方案，可以下载和安装恶意软件，并凭借此外表从Android设备中窃取用户的凭据、银行信息以及具有其他一系列众多的其他独特功能。

CPR研究人员Alex Shamsur和Raman Ladutska在周四发布的一份报告中声明：Sharkbot通过引诱受害者在模仿良性证书的链接窗口中输入证书信息，而当用户在这些窗口中输入信息凭据后，相关的数据将被直接发送到恶意服务器。研究人员在检查的过程中发现了六个不同的应用程序，包括名为Atom Clean-Booster、Antivirus、Antvirus Super Cleaner和Center Security-Antivirus的应用程序。这些应用程序分别来自于三个开发人员帐户——Zbynek Adamcik、Adelmio Pagnotto和Bingo Like Inc.——其中至少有两个账户在去年秋天尤为活跃。研究人员梳理的时间表也显示了他们的活动轨迹，因为Sharkbot于11月才首次出现在研究人员的观察网上。

研究人员同时表示：一些与这些帐户关联的应用程序已被从Google Play中删除，但是却仍然存在于非官方市场中。这意味着这些恶意应用程序背后的行为者仍然在试图参与恶意活动，因此需要我们时刻保持警惕。谷歌公司虽然已经删除了这些违规应用程序，但在仍然有约15,000人次进行了下载和安装。其实从分布人群也可以看出的主要目标就像以前一样还是以英国和意大利的用户为主。

Sharkbot的不同之处

CPR研究人员表示，他们通过对Sharkbot的应用模式进行分析观察发现，Sharkbot不仅应用了典型的信息窃取策略，它还具备了与典型Android恶意软件不同的特征。研究人员认为Sharkbot使用了一种地理区分功能，它可以根据地理区域选择所攻击的用户，同时可以忽略来自中国、印度、罗马尼亚、俄罗斯、乌克兰或白俄罗斯的用户。同时研究人员还指出，Sharkbot拥有一些更为灵活的技术。一方面若Sharkbot检测到它正在沙箱（计算机安全领域中用于安全的运行程序机制）中运行时，它将停止执行并退出。Sharkbot的另一个独特标志是它会利用域名生成算法（DGA），这是Android平台恶意软件中很少使用的技术。研究表示他们使用DGA，进而每周能够生成七个域名，包括研究员观察到的所有种子和算法，每周共有56个域名，即8种不同的算法组合。因此研究人员在他们的研究中观察到了27个版本的Sharkbot，而这些版本之间的最主要区别就是拥有不同的DGA种子以及不同的botnetID和ownerID字段。

总而言之，Sharkbot能够发送22个命令，进而允许网络攻击者在用户的Android设备上执行各种恶意操作包括：请求发送短信的权限；卸载已下载的应用程序；将设备的联系人列表发送到服务器；禁用电池优化，以便Sharkbot可以在后台运行；以及模仿用户在屏幕上的滑动。

活动时间表

CPR研究人员于2月25日在Google Play上首次发现了含有Sharkbot病毒释放器的四个应用程序，此后不久于3月3日向谷歌报告了他们的发现。谷歌在发现安全漏洞后于3月9日删除了这些应用程序，但六天后，即3月15日，又发现了另一个Sharkbot病毒释放器。并且在3月22日和3月27日又发现了两个Sharkbot木马病毒释放器，他们也迅速向谷歌报告要及时予以移除。

研究人员表示，Sharkbot木马病毒释放器本身应该引起关注。他们认为：正如他们可以从病毒释放器的功能来判断的那样，它们显然本身存在的各种可能性构成了威胁，我们的应对手段不能仅仅只是丢弃恶意软件。

具体而言，研究人员发现Sharkbot病毒释放器伪装成以下应用程序在Google Play上；

· com.abbondioendrizzi.tools[.]超级清洁剂

· com.abbondioendrizzi.antivirus.supercleaner

· com.pagnotto28.sellsourcecode.alpha

· com.pagnotto28.sellsourcecode.supercleaner

· com.antivirus.centersecurity.freeforall

· com.centersecurity.android.cleaner

研究人员指出，这些病毒释放器也有一些独特的规避检测策略，例如检测模拟器，如果它们发现了模拟器则会自动退出。他们还能够检查设备的所有用户界面并采取相对的行动，比如替换其他应用程序发送的通知。研究人员补充道：此外，Sharkbot可以安装在从CnC下载的APK（安卓安装包）上，这也为用户在设备上安装此类应用程序后立即传播恶意软件提供了一个方便的途径。

Google Play持续受到攻击

长期以来，谷歌一直在努力解决其Android应用程序商店里存在的恶意应用程序和恶意软件，并为清理这些恶意软件做出了重大努力。然而一位安全专业人士指出，伪装成防病毒解决方案出现的Sharkbot表明，攻击者在如何隐藏平台上的恶意活动方面越来越狡猾，这些现象的存在可能会损害用户对Google Play的信心。

安全公司Cerberus Sentinel解决方案架构副总裁Chris Clements在给Threatpost的电子邮件中表示：在应用程序审查过程中，通过时间延迟、代码混淆和地理位置区分来隐藏其恶意功能的恶意软件应用程序将使得防网络攻击更具有挑战性，而潜伏在官方应用程序商店中也确实损害了用户对谷歌平台上所有应用程序安全性的信任。他还认为，智能手机是人们数字生活的中心，并且也是金融、个人和工作活动的枢纽，任何损害此类中央设备安全的恶意软件都可能造成用户的重大财务损失或声誉损害。

而另一位安全专业人士则敦促Android用户在决定是否从信誉良好的供应商商店下载移动应用程序时要谨慎，即使它是一个值得信赖的品牌。

KnowBe4的安全意识倡导者James McQuiggan提醒广大用户在安装来自各种技术商店的应用程序时，最好在下载应用程序之前对其进行详细的研究。因为网络犯罪分子喜欢诱骗用户安装具有隐藏功能的恶意应用程序，以此试图窃取数据或接管帐户。

参考及来源：https://threatpost.com/google-play-bitten-sharkbot/179252/