Skip to main content

Antivirusappar för Android påkomna med att sprida egen skadlig mjukvara

Android logotypen
(Foto: Google)

Google har plockat bort ett antal falska antivirusappar för Android från Play-butiken efter att det framkommit att de användes för att sprida skadlig mjukvara.

Enligt cybersäkerhetsexperter från Check Point Research, företaget som upptäckte beteendet, så fanns det åtminstone sex antivirusappar tillgängliga i den officiella appbutiken för Android som användes för att sprida skadlig mjukvara.

Apparna i fråga är följande:

  • Atom Clean-Booster, Antivirus
  • Antivirus, Super Cleaner
  • Alpha Antivirus, Cleaner
  • Powerful Cleaner, Antivirus
  • Center Security - Antivirus (två versioner)

Dessa skadliga appar användes för att distribuera Sharkbot, en skadlig mjukvara som används för att stjäla lösenord och finansiell information. Den delar pushnotiser och erbjuder falska inloggningsrutor där användaren luras att dela med sig av sina uppgifter till angriparen.

Även om samtliga har plockats bort från Play-butiken så säger Check Point att de fortsatt är aktiva på inofficiella marknadsplatser för appar. Android-användare som har hämtat apparna innan de plockades bort uppmanas avinstallera dessa omedelbart.

Undantag för vissa geografiska delar

Under en vecka av analys så identifierades mer än 1000 infekterade enheter med en ökning på omkring 100 enheter per dag. Enligt uppgifter på Google Play-butiken så har dessa skadliga appar installerats på totalt omkring 11 000 enheter.

Vem eller vilka som står bakom dessa är än så länge okänt, men det finns anledning att tro att de är av ryskt ursprung. Den skadliga mjukvaran kommer nämligen med geografiska begräsnsingar som undantar enheter från Kina, Indien, Rumänien, Ryssland, Ukraina och Belarus. Merparten av offren ser ut att komma från Storbritannien och Italien.

De utvecklarkonton som användes för att ladda upp apparna var Zbynek Adamcik, Adelmio Pagnotto och Bingo Like Inc. Av de tre så har två varit aktiva sedan hösten 2021.

Det räcker inte med att endast ladda hem appen för att angriparen ska kunna lyckas med attacken dock. Användaren behöver tillåta appen att hantera tillgänglighetsinställningarna, något som appen försöker lura användaren att göra.

Efter att appen tilldelats nödvändiga rättigheter, så kommer den dock ta över merparten av användarens smarta mobil och kan obegränsat samla in data.

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.