Fox-ITは9月2日(現地時間)、「Sharkbot is back in Google Play – Fox-IT International blog」において、マルウェア「SharkBot」が再びGoogle Playストアに登場したと伝えた。ウイルス対策アプリやクリーナアプリを装い、SharkBotをドロップするアプリがGoogle Playストアに公開されていることがわかった。
SharkBotは、2022年4月にCheck Point Software Technologiesによって観測された銀行の口座情報や認証情報を窃取するマルウェア。正規の「アンチウイルスアプリ」に偽装し、Google Playストアで配布されていた(参考「アンチウイルスアプリを偽装したAndroidマルウェア見つかる、確認と対処を | TECH+(テックプラス)」)。
Sharkbotをインストールさせようとするドロッパーアプリが2つ、Google Playストアで見つかった。すでに合計で6万回以上インストールされているという。発見されたドロッパーアプリは次のとおり。
- Mister Phone Cleaner
- Kylhavy Mobile Security
これらドロッパーアプリは、改良されたSharkbotをドロップするよう設計されていることがわかった。新たなバージョンでは、イギリスとイタリア以外のターゲットリストを提供するコマンド&コントロール(C2: Command and Control)サーバが導入されており、スペイン、オーストラリア、ポーランド、ドイツ、米国、オーストリアなども標的として追加されている。
他にも、銀行口座にログインした被害者からセッションクッキーを盗む新機能やコードリファクタリング、ドメイン生成アルゴリズム(DGA: Domain Generation Algorithm)とC2サーバに使用するプロトコルに関連するいくつかの変更が行われていることも判明している。
SharkBotの開発者は、Google Playストア内Sharkbotドロッパーキャンペーンが検出されてからマルウェアとドロッパーの改良に取り組み続けている。最新のキャンペーンで改善されたマルウェアを配布するためにGoogle Playストアが使い続けられ、Sharkbotの進化が今後も続くと予想されている。