Une version récemment mise à jour d’une application bancaire et crypto ciblant les logiciels malveillants a récemment refait surface sur le Google Play Store, avec désormais la possibilité de voler les cookies des connexions de compte et de contourner les exigences d’empreintes digitales ou d’authentification.
Un avertissement concernant la nouvelle version du malware a été partagé par l’analyste des logiciels malveillants Alberto Segura et l’analyste du renseignement sur les traitements Mike Stokkel sur les comptes Twitter le 2 septembre, partageant leur article co-écrit sur le blog Fox IT.
Nous avons découvert une nouvelle version de #SharkbotDropper dans Google Play utilisé pour télécharger et installer #Sharkbot! Les compte-gouttes trouvés ont été utilisés dans une campagne ciblant le Royaume-Uni et l’informatique ! Bon travail @Mike_stokkel! https://t.co/uXt7qgcCXb
— Alberto Segura (@alberto__segura) 2 septembre 2022
Selon Segura, la nouvelle version du logiciel malveillant a été découverte le 22 août et peut « effectuer des attaques par superposition, voler des données via l’enregistrement de frappe, intercepter des messages SMS ou donner aux pirates un contrôle à distance complet de l’appareil hôte en abusant des services d’accessibilité. ”
La nouvelle version du logiciel malveillant a été trouvée dans deux applications Android – « Mister Phone Cleaner » et « Kylhavy Mobile Security », qui ont depuis amassé respectivement 50 000 et 10 000 téléchargements.
Les deux applications ont pu initialement se rendre sur le Play Store car l’examen automatisé du code de Google n’a détecté aucun code malveillant, bien qu’il ait depuis été supprimé du magasin.
Certains observateurs suggèrent que les utilisateurs qui ont installé les applications peuvent toujours être à risque et doivent supprimer les applications manuellement.
Une analyse approfondie de la société de sécurité italienne Cleafy a révélé que 22 cibles avaient été identifiées par SharkBot, qui comprenait cinq échanges de crypto-monnaie et un certain nombre de banques internationales aux États-Unis, au Royaume-Uni et en Italie.
En ce qui concerne le mode d’attaque du logiciel malveillant, la version antérieure du logiciel malveillant SharkBot « s’appuyait sur des autorisations d’accessibilité pour effectuer automatiquement l’installation du logiciel malveillant de compte-gouttes SharkBot ».
Mais cette nouvelle version est différente en ce sens qu’elle « demande à la victime d’installer le malware en tant que fausse mise à jour pour que l’antivirus reste protégé contre les menaces ».
Une fois installé, si une victime se connecte à sa banque ou à son compte crypto, SharkBot est capable de récupérer son cookie de session valide via la commande « logsCookie », qui contourne essentiellement toutes les méthodes d’empreintes digitales ou d’authentification utilisées.
C’est intéressant!
Le malware Sharkbot Android annule les boîtes de dialogue « Connexion avec votre empreinte digitale » afin que les utilisateurs soient obligés de saisir le nom d’utilisateur et le mot de passe
(selon @foxit article de blog) pic.twitter.com/fmEfM5h8Gu– Łukasz (@maldr0id) 3 septembre 2022
La première version du malware SharkBot a été la première découvert par Cleafy en octobre 2021.
Lié: Une fausse application sournoise Google Translate installe un crypto-mineur sur 112 000 PC
Selon la première analyse de Cleafy sur SharkBot, l’objectif principal de SharkBot était « d’initier des transferts d’argent à partir des appareils compromis via la technique des systèmes de transfert automatique (ATS) en contournant les mécanismes d’authentification multifacteur ».