ThreatFabricは10月28日(オランダ時間)、「Malware wars: the attack of the droppers — ThreatFabric」において、Google Playストアから悪質なドロッパーが配布されていると伝えた。「Sharkbot」および「Vultur」と呼ばれているバンキング型トロイの木馬をドロップするアプリがGoogle Playストアで発見されており、延べ13万回以上インストールされていることが明らかとなった。

2022年10月初旬、イタリアの銀行の顧客を標的とした新たなキャンペーンが発見された。このキャンペーンではSharkbotのバージョン2.29~2.32が使われていたという。キャンペーンで使われたドロッパーアプリがGoogle Playストアで特定されており、イタリアの税コードを計算するアプリ「Codice Fiscale」に隠されていたことが判明している。

調査中にGoogle Playストアから取得可能な別のSharkbotドロッパーも発見されている。「File Manager」と名付けられていたこのドロッパーアプリはインストール数がゼロであり、すぐに削除されたことが確認されている。

Vulturをドロップする3つの新たなドロッパーがGoogle Playストアで配布されていたことも判明している。これらのドロッパーは「My Finances Tracker」、「RecoverFiles」、「Zetter Authenticator」と名付けられ、セキュリティ認証ツールやファイル回復ツールなどのアプリに偽装されていたという。

ThreatFabricのセキュリティ専門家は、Google Playストアのポリシーやセキュリティの仕組みが変更されたにもかかわらず、悪意のあるドロッパーアプリが依然として公式ストアに忍び込でいると指摘している。

バンキング型トロイの木馬は被害者が長い間気づかず、知らないうちに疑わしい取引が発生している可能性があるため、非常に危険だという。悪意のあるアプリとそのペイロード、および顧客のデバイスで発生した不審な動作を検出するため、組織側で対策を講じることが非常に重要だと助言している。