C'est en analysant des applications suspectes sur Google Play que l'équipe de Check Point Research (CPR) a constaté que certaines de ces applications étaient déguisées en véritables solutions AV, mais les utilisateurs ont en réalité téléchargé et installé un stealer (voleur de données) pour Android appelé « Sharkbot ».

Sharkbot vole les identifiants et les informations bancaires. Ce malware met en œuvre une fonction de géofencing et des techniques d'évasion, ce qui le distingue du reste des autres malwares. Il utilise également ce que l'on appelle un algorithme de génération de domaine (DGA), un procédé rarement utilisé dans le monde des logiciels malveillants Android, selon Check Point Research.

Sharkbot incite les victimes à saisir leurs identifiants sur des pages qui imitent des formulaires. Lorsque l'utilisateur y saisit ses informations, les données compromises sont envoyées à un serveur malveillant. Sharkbot ne cible pas toutes les victimes potentielles qu'il rencontre, mais seulement certaines d'entre elles, et exploite la fonction de géofencing pour identifier et ignorer les utilisateurs de Chine, d'Inde, de Roumanie, de Russie, d'Ukraine ou de Biélorussie. 

Les chercheurs de CPR ont repéré six applications différentes sur le Google Play store qui diffusaient Sharkbot.

Quatre applications provenaient de trois comptes des développeurs Zbynek Adamcik, Adelmio Pagnotto et Bingo Like Inc. Lorsque CPR a vérifié l'historique de ces comptes, il a été constaté que deux d'entre eux étaient actifs à l'automne 2021. Certaines des applications liées à ces comptes ont été retirées de Google Play mais existent toujours sur des marchés non officiels. Cela pourrait signifier que l'acteur de la menace qui se trouve derrière ces applications essaie de rester sous le radar, tout en continuant à mener des activités malveillantes. Au total, ces applications ont été téléchargées à plus de 15 000 reprises depuis Google Play.

CPR a signalé ces découvertes à Google immédiatement après avoir identifié ces applications qui propagent Sharkbot. Google a alors procédé à leur retrait définitif de Google Play.