Suite à son Découverte dans plusieurs applications antivirus en avril, le cheval de Troie SharkBotDropper a de nouveau infiltré le Google Play Store, ont averti les chercheurs.
Selon un nouveau rapport (s’ouvre dans un nouvel onglet) de Fox-IT, une division de la société de sécurité NCC Group, deux applications antivirus Android supplémentaires se sont avérées porteuses du cheval de Troie, conçu pour voler les informations d’identification bancaires en ligne.
La résurgence de SharkBot, selon les chercheurs, signale la prochaine étape du jeu du chat et de la souris entre les cyberattaquants et Google. Le logiciel malveillant ne repose plus sur l’utilisation abusive des autorisations d’accessibilité d’un appareil Android pour s’installer, mais est diffusé via une mise à jour des applications factices suivantes :
- Monsieur Phone Cleaner (plus de 50 000 téléchargements)
- Kylhavy Mobile Security (plus de 10 000 téléchargements)
Cheval de Troie bancaire Android
Si les utilisateurs ont installé l’une de ces applications, Sharkbot peut compromettre leurs informations bancaires privées de plusieurs manières.
Il peut injecter une fausse page de connexion lorsque l’application bancaire officielle est ouverte. Si cela se produit, les utilisateurs peuvent voir un écran qui ne leur est pas familier ou qui diffère légèrement de l’interface normale.
SharkBot est également connu pour enregistrer les pressions sur les touches et les envoyer à un serveur externe, ainsi que pour intercepter et masquer les messages texte. Il peut également envoyer des réponses aux messages texte et instantanés reçus, propageant le logiciel malveillant via un lien raccourci.
La méthode la plus puissante que Sharkbot peut utiliser pour compromettre les informations d’identification bancaires est peut-être de permettre aux attaquants d’accéder à distance à l’appareil d’un utilisateur, de remplir automatiquement les formulaires de transaction dans les applications bancaires et de déclencher les transferts.
C’est une petite miséricorde que, pour que la plupart de ces fonctionnalités fonctionnent correctement, les applications bancaires doivent obtenir des autorisations d’accessibilité. Les utilisateurs doivent vérifier si ceux-ci sont activés et, s’ils sont toujours nécessaires, envisager de supprimer leur application bancaire à court terme.
Pour se protéger contre de telles attaques, les utilisateurs doivent exécuter des analyses de sécurité régulières à l’aide d’une application antivirus réputée pour Android, et la laisser supprimer toutes les menaces, telles que SharkBot, qu’elle trouve.
Si l’appareil en question existe dans un réseau plus vaste, les utilisateurs doivent envisager d’investir dans la protection des terminaux pour leur entreprise.
Ceux qui ont peut-être déjà été infectés par les applications incriminées doivent d’abord les désinstaller et cesser d’utiliser les applications bancaires jusqu’à ce que la menace ait été supprimée.
L’évolution de SharkBot
Les caractéristiques de conception de SharkBot peuvent laisser entrevoir un changement dans les méthodes employées par certains cyberattaquants, passant de l’infection d’autant d’appareils que possible au ciblage d’appareils dans des régions spécifiques dans le cadre de campagnes géopolitiques.
L’épidémie SharkBot d’avril visait principalement le Royaume-Uni et l’Italie, mais fin août, Fox-IT a découvert que l’Espagne, l’Australie, la Pologne, l’Allemagne, l’Autriche et les États-Unis sont désormais également ciblés par les serveurs de commande et de contrôle (C2) de SharkBot. .
Un rapport séparé (s’ouvre dans un nouvel onglet) publié en avril par Check Point Research a noté que « Sharkbot ne cible pas toutes les victimes potentielles qu’il rencontre, mais seulement certaines, en utilisant la fonction de géorepérage pour identifier et ignorer les utilisateurs de Chine, d’Inde, de Roumanie, de Russie, d’Ukraine ou de Biélorussie ».
Les attaques de logiciels malveillants peuvent être troublantes, en particulier lorsque les motivations qui les sous-tendent ne sont pas claires. C’est pourquoi il est important de disposer d’outils de suppression des logiciels malveillants, bloquant les menaces en temps réel, afin que les utilisateurs n’aient plus jamais à se soucier d’une attaque malveillante.