Theo các nhà nghiên cứu bảo mật của Check Point, 6 ứng dụng độc hại đã được tải xuống 15.000 lần trước khi Google xóa chúng khỏi cửa hàng nhờ nhận được cảnh báo. Điều đáng chú ý là các ứng dụng này ngụy trang thành app chống virus, nhưng chúng lại kèm theo malware Sharkbot đánh cắp mật khẩu của người dùng.
Sharkbot hoạt động bằng cách đánh lừa nạn nhân nhập thông tin đăng nhập của họ vào các cửa sổ giả mạo, thường hiện ra khi malware phát hiện các ứng dụng ngân hàng được mở. Nó cũng có thể lấy cắp thông tin bằng keylog (theo dõi thao tác bàn phím), xâm nhập tin nhắn SMS và có được toàn quyền truy cập từ xa.
Sau khi nạn nhân nhập tên người dùng và mật khẩu của họ, thông tin chi tiết sẽ được gửi đến máy chủ của malware và được kẻ xấu sử dụng để truy cập vào các tài khoản ngân hàng, mạng xã hội, email, v.v…
Malware chủ yếu nhắm đến các nạn nhân ở Anh và Ý. Nó có khả năng sử dụng định vị để xác định và bỏ qua người dùng ở Trung Quốc, Ấn Độ, Romania, Nga, Ukraine hoặc Belarus.
Các ứng dụng có thể vượt qua biện pháp bảo vệ của Play Store vì hành vi độc hại của chúng không được kích hoạt cho đến khi ai đó tải chúng xuống và có cơ hội giao tiếp với máy chủ.
Các ứng dụng chứa Sharkbot đã được xóa khỏi Google Play Store vào tháng 3, nhưng có khả năng chúng vẫn còn xuất hiện trên các cửa hàng bên thứ ba.