这些滴管游戏应用商店针对200多家银行和加密货币Wallets

在Google Play商店( Google Play Store )上发现了5个恶意的Android应用程序，累计安装超过130，000次，其中包括SharkBot和Vultur等银行特洛伊木马，这些应用程序能够窃取财务数据和进行设备欺诈。

荷兰移动安全公司ThreatFabric在一份声明中对《黑客新闻》说：”这些水滴继续不断地演变为恶意应用程序潜入官方商店。”

这种演进包括遵循新引入的策略和伪装成文件管理器，以及通过Web浏览器侧面加载恶意负载来克服局限性。

这些投放器的目标包括来自意大利、英国、德国、西班牙、波兰、奥地利、美国、澳大利亚、法国和荷兰金融机构的231款银行和加密货币钱包应用。

像谷歌这样的官方应用程序商店的滴管应用程序越来越成为一种流行和有效的技术，将银行恶意软件分发给毫无戒心的用户，即使这些运动背后的威胁行为者不断地改进他们的策略，以绕过谷歌施加的限制。

恶意应用程序的清单，其中4个仍可在数字市场上获得，如下：

·  Codice Fiscale 2022 ( com.iatalytaxcode.app ) – 10000 +下载

·  File Manager Small，Lite ( com.paskevicss752.usurf ) -零下载

·  My Finances Tracker ( com.all. finance.plus ) – 1，000多个下载

·  恢复音频、图像和视频( com.umac.recglobalfilepro ) – 100，000 +下载

·  Zetter身份验证器( com.zetter.fastchecking ) – 10，000 +下载

自2022年10月初以来，针对意大利银行用户的最新一波SharkBot袭击，需要使用伪装成” ( ‘ Codice Fiscale 2022 ‘) “的滴管来确定该国的税法。

虽然谷歌的开发者计划政策限制了REQUEST _ INSTALL _ PACKAGES权限的使用，以防止其被滥用来安装任意应用程序包，但投放器一旦启动，就会打开一个伪造的谷歌Play商店页面，模拟应用列表，从而以更新的名义下载恶意软件。

将恶意软件检索外包给浏览器并不是犯罪行为人采取的唯一方法。在ThreatFabric发现的另一个实例中，拖放程序是一个文件管理器应用程序，根据谷歌的修订政策，它是一个允许使用REQUEST _ INSTALL _ PACKAGES权限的类别。

此外，还发现了三个提供广告功能的投递者，但也有一个隐蔽的功能，促使用户在打开应用程序时安装更新，并允许他们从未知来源安装应用程序，从而导致Vultur的交付。

特洛伊木马的新变种在增加广泛记录用户界面元素和交互事件(例如,点击、手势等。)的功能方面是值得注意的，ThreatFabric说这可能是银行应用程序使用FLAG _ SECURE窗口标志的一个解决办法，以防止它们在屏幕截图中被捕获。

来自ThreatFabric的研究结果还显示，Cyble发现了一个针对18家印度银行的升级版本的Drinik Android特洛伊木马，通过模拟该国的官方税务部门应用程序，通过滥用可访问性服务API来虹吸个人信息。

该公司指出，在谷歌游戏中，通过滴管分发仍然是最”负担得起”和可伸缩的方式来帮助不同层次的大多数行为者。

  “虽然以电话为导向的攻击传递等复杂的策略需要更多的资源和难以规模，但官方和第三方商店的滴管允许威胁行为者以合理的努力达到广泛的不信任的观众。”