Deux applications potentiellement dangereuses avec un nombre considérable de téléchargements ont été supprimées du Play Store de Google, rapportent des experts en cybersécurité.com/2022/09/02/sharkbot-is-back-in-google-play/”target=”_blank”>Fox-IT (via BleepingComputer).Mister Phone Cleaner et l’antivirus Kylhavy Mobile Security les applications ont été installées collectivement 60 000 fois et leur objectif était de voler des identifiants bancaires en installant une version évoluée du célèbre malware SharkBot. Les applications sont initialement arrivées sur l’App Store, car elles ne contenaient aucun code malveillant qui aurait amené Google à les rejeter. Mister Phone Cleaner et Kylhavy Mobile Security sont des applications d’extraction ou d’assistance, créées pour diffuser des logiciels malveillants sur les téléphones Android. Une fois installés, les utilisateurs étaient invités à installer une mise à jour pour rester protégés contre les menaces, ce qui était en fait un moyen d’installer SharkBot sur le téléphone de la victime.
Bien que ces applications ne soient plus disponibles sur le Play Store, les utilisateurs qui les ont précédemment téléchargées doivent les supprimer de leur téléphone sous peine de conséquences.
Les applications de compte-gouttes SharkBot veulent voler des informations bancaires
SharkBot a été découvert pour la première fois fin 2021 et les premières applications avec lui ont été trouvées sur le Play Store en mars de cette année. Le mode de fonctionnement à l’époque consistait à voler des informations via l’enregistrement de frappe, l’interception de messages texte, la ruse des utilisateurs utilisant des attaques de superposition d’écran pour divulguer des informations sensibles, ou donner aux cybercriminels le contrôle à distance de l’appareil infecté en abusant des services d’accessibilité.
Un la version améliorée appelée SharkBot 2 a été repérée en mai et le 22 août, Fox-IT est tombé sur la version 2.25, qui est capable de voler les cookies des connexions aux comptes bancaires. Les applications nouvellement découvertes avec SharkBot 2.25 n’abusent pas des services d’accessibilité et n’ont pas non plus besoin de la fonctionnalité de réponse directe, car cela aurait pu compliquer leur approbation pour le Play Store.
Elles demandent plutôt la commande et-contrôler les serveurs pour recevoir directement le fichier APK Sharkbot. Après cela, les applications dropper informent l’utilisateur d’une mise à jour et lui demandent d’installer l’APK et d’accorder les autorisations requises.
Pour éviter la détection automatique, SharkBot enregistre sa configuration codée en dur sous forme chiffrée.
À l’aide de l’enregistreur de cookies, SharkBot siphonne les cookies de session valides lorsqu’un utilisateur se connecte à son compte bancaire et les envoie au serveur de commande et de contrôle. Les cookies sont précieux pour les auteurs de menaces, car ils les aident à échapper aux vérifications d’empreintes digitales et à éviter l’exigence de jetons d’authentification des utilisateurs dans certains cas.
Le logiciel malveillant était capable de voler des données telles que des mots de passe et le solde d’un compte à partir d’applications bancaires officielles. Pour certaines applications, il a pu éviter les connexions par empreinte digitale.
SharkBot semble cibler les utilisateurs en Australie, Autriche, Allemagne, Italie, Pologne, Espagne, Royaume-Uni et États-Unis.
Les développeurs travaillent toujours d’arrache-pied pour améliorer le logiciel malveillant et Fox-IT s’attend à d’autres campagnes à l’avenir.
Pour éviter de devenir la proie de telles applications, ne téléchargez pas d’applications provenant d’inconnus. éditeurs, en particulier ceux qui ne semblent pas populaires et qui font également l’objet d’examens.
