SharkBotまた来ています

SharkBotはAndroid環境をターゲットとしたバンキングトロイマルウェアです。
また作戦を変更して活動を継続しています。
SharkBotはアンチウイルスアプリに成りすますところから始まりました。
次に機能を減らしてみたりした段階もありました。
今度はどういう作戦でしょう。

• ファイルマネージャー？
  今度はファイルマネージャーに成りすまします。
  防御側もいくつもの策を講じてきています。
  その策の中に、権限の制限があります。
  アンチウイルスを実施するアプリケーションにはファイルを読み込む権限は必要かもしれないけどファイルを書き込む権限は必要ないでしょ、という具合です。
  さぁ困りました、どうしましょう。
  いいこと考えました。
  アンチウイルスに成りすますのではなくファイルが書き込めるものに成ればよいのです。
  今度はファイルマネージャーが選択されました。
  ファイルマネージャーはファイルを管理するのが仕事ですからファイルを書き込む権限も必要とします。
  これでマルウェアは外部から持ってきたペイロードを書き込むことができます。
• 検出機構の回避
  今回観測されているSharkBotはイタリアとイギリスでのみ活動する仕組みになっています。
  判定はSIMのパラメータを読み取って行われます。
  これは実際のターゲットの銀行が狙えるかという意味合いよりもアンチエミュレーターチェックとして行われていると考えられます。
  判定装置や研究者による調査の際に活動を感知されないための機構なのかもしれません。
• 獲物判定
  マルウェアにはいくつもの銀行がターゲットとできる機構が実装されています。
  マルウェアはそれらのなかのどれかのアプリが感染環境に存在しているかを確認します。

手を変え品を変え、襲い掛かります。

参考記事（外部リンク）：Android SharkBot Droppers on Google Play Underline
Platform’s Security Needs
www.bitdefender.com/blog/labs/android-sharkbot-droppers-on-google-play-underlines-platforms-security-needs/