Pour contourner les mesures de sécurité de Google dans le Play Store, les pirates emballent les logiciels malveillants sous forme d’applications indescriptibles. Cependant, des chevaux de Troie bancaires se cachent derrière eux.
Les cybercriminels utilisent de plus en plus des applications dites dropper pour installer des logiciels malveillants sur les smartphones. Ces applications sont disponibles sur le Google Play Store et semblent légitimes. Ce n’est que lorsqu’ils demandent une mise à jour que l’installation des logiciels malveillants commence, y compris les chevaux de Troie bancaires qui souhaitent accéder aux données du compte.
La société néerlandaise de support informatique Threat Fabric a identifié cinq applications qui utilisent une fausse mise à jour pour installer des chevaux de Troie bancaires sur les smartphones Android. Ce sont deux campagnes à grande échelle. L’un d’eux fonctionne avec le célèbre cheval de Troie “Vultur”, les autres avec le plus récent “Sharkbot”.
Le cheval de Troie bancaire “Sharkbot” cible également les banques allemandes
Une nouvelle campagne impliquant le cheval de Troie bancaire “Sharkbot” n’a été identifiée par Threat Fabric que début octobre. Il affecte principalement les utilisateurs italiens d’Android, mais il existe également des cas en Allemagne et dans d’autres pays.
L’application compte-gouttes Codice Fiscale, conçue pour aider les utilisateurs italiens à calculer leurs impôts, a été téléchargée plus de 10 000 fois. Lorsque vous ouvrez l’application, elle vérifie le pays dans lequel la carte SIM est enregistrée. Ce n’est que s’il s’agit en fait d’une carte SIM italienne que “Codice Fiscale” essaie d’installer “Sharkbot”. Pour ce faire, elle ouvre une fausse page Play Store qui affiche une mise à jour – une soi-disant superposition. Au lieu de la mise à jour, cependant, le cheval de Troie bancaire arrive sur le smartphone.
Une deuxième application avec un peu plus de 1000 installations est également destinée aux utilisateurs en Allemagne et dans d’autres pays. Il s’agit de l’application File Manager Small, Lite. Le processus d’installation de “Sharkbot” est identique. Le cheval de Troie essaie ensuite d’obtenir les données bancaires d’applications telles que N26, PayPal, Targobank, Sparkasse, Postbank et Commerzbank sur le smartphone.
Encore plus d’applications contiennent des chevaux de Troie “Vultur”
Threat Fabric a identifié trois applications capables d’installer le cheval de Troie bancaire Vultur sur les smartphones Android. L’entreprise a découvert le cheval de Troie pour la première fois à l’été 2021. Les applications Dropper contenant le malware sont regroupées dans le “Projet Brunhilda”. Dans l’ensemble, les trois applications qui ont maintenant été découvertes ont atteint plus de 110 000 installations depuis le Play Store. Ils se présentent sous la forme d’authentificateurs de sécurité et d’outils de récupération.
Normalement, les applications de compte-gouttes remplissent réellement la fonction indiquée. Cependant, immédiatement après l’installation, ils communiquent avec un serveur distant pour enregistrer l’installation réussie. Le serveur envoie une commande à l’application, qui l’invite ensuite à installer une mise à jour. Si vous cliquez dessus, « Vultur » s’installe automatiquement sur le smartphone. Le cheval de Troie est un soi-disant enregistreur de frappe qui peut suivre les entrées sur l’écran du smartphone. Par exemple, si vous entrez le mot de passe de l’application bancaire, le logiciel malveillant peut le lire.
Les utilisateurs d’Android doivent supprimer ces applications immédiatement
Les applications malveillantes ont depuis été signalées à Google et supprimées de l’App Store. Cependant, ils ne disparaissent pas automatiquement des smartphones des utilisateurs. Comme d’habitude dans de tels cas, vous devez supprimer vous-même les applications concernées de l’appareil final.
Voici la liste des applications susceptibles de contenir des chevaux de Troie bancaires “Vultur” ou “Sharkbot” :
Requinbot: Codice Fiscal 2022 ; Gestionnaire de fichiers Petit, Lite
vautour: Récupérer l’audio, les images et les vidéos ; Authentification Zetter ; Suivi de mes finances
Comment se protéger des chevaux de Troie bancaires
Malheureusement, il n’y a pas de protection générale contre la méthode de superposition de Sharkbot ou la méthode d’enregistreur de frappe de Vultur. Cependant, TECHBOOK propose quelques conseils permettant de reconnaître les applications malveillantes :
- Lorsqu’une application vous demande vos informations de connexion alors que vous êtes déjà connecté
- Accéder aux fenêtres contextuelles qui ne contiennent pas de nom d’application
- Accéder aux demandes d’applications qui ne devraient pas avoir accès aux autorisations demandées, telles qu’une application de calculatrice qui souhaite accéder au GPS
- Fautes d’orthographe et erreurs graphiques dans l’interface utilisateur
- Boutons et liens qui ne renvoient à rien
- Le bouton de retour ou le geste ne fonctionne pas correctement

