Sharkbot 是攻击者用来窃取银行账户凭证的信息窃取程序，与其他 Android 银行木马一样，利用 Android 的 Accessibility Service 在合法银行应用程序之上显示虚假覆盖窗口，但Sharkbot 也使用了 Android 恶意软件很少使用的域生成算法 (DGA)，一旦安装在受害者的设备上，Sharkbot 就会欺骗受害者在看起来像普通输入表单的窗口中输入他们的凭证。该恶意软件还具备检查是否在沙箱中运行的情况，以防止被研究人员分析。

研究人员认为，SharkBot 的特点之一是能够自动回复来自 Facebook Messenger 和 WhatsApp 的通知，以传播指向虚假防病毒应用程序的链接。

为了更具有针对性，Sharkbot利用恶意代码实施规避技术并使用地理围栏功能，以针对特定国家和地区的受害者，并避免感染来自印度、罗马尼亚、俄罗斯和乌克兰等地的设备。

所发现的6款虚假防病毒应用程序

研究人员发现，在 Google Play 商店中，共有6款看似正常的防病毒应用程序正在传播 Sharkbot，分别来自3个开发者—— Zbynek Adamcik、Adelmio Pagnotto 和 Bingo Like Inc。当研究人员检查这些帐户的历史记录时，发现其中两个在 2021 年秋季处于活跃状态。其中一些与这些帐户相关联的应用程序帐户已从 Google Play 中删除，但仍存在于非官方市场中。这可能意味着应用程序背后的攻击者仍然在参与恶意活动的同时试图保持低调。在部分应用被删除前，有的已获得超15000次下载，且大多数受害者位于意大利和英国。

在报告结尾，研究人员担忧，如今如果在 Google Play 中出现新的防病毒应用程序，说不定就是披着羊皮的狼，成为传播恶意软件的载体。在如Sharkbot的传播方案中，恶意软件本身并没有上传到 Google Play，而是通过中间链接，伪装成合法软件。