De fausses applications antivirus et de nettoyage sont capturées en train d’installer le cheval de Troie bancaire Android SharkBot


Le célèbre cheval de Troie bancaire Android connu sous le nom de SharkBot a de nouveau fait son apparition sur le Google Play Store en se faisant passer pour un antivirus et des applications plus propres.

« Ce nouveau compte-gouttes ne s’appuie pas sur les autorisations d’accessibilité pour effectuer automatiquement l’installation du malware compte-gouttes Sharkbot », a déclaré Fox-IT du groupe NCC. a dit dans un rapport. « Au lieu de cela, cette nouvelle version demande à la victime d’installer le malware en tant que fausse mise à jour pour que l’antivirus reste protégé contre les menaces. »

Les applications en question, Mister Phone Cleaner et Kylhavy Mobile Security, comptent plus de 60 000 installations entre elles et sont conçues pour cibler les utilisateurs en Espagne, en Australie, en Pologne, en Allemagne, aux États-Unis et en Autriche –

La cyber-sécurité
  • Monsieur Nettoyeur de téléphone (com.mbkristine8.cleanmaster, 50 000+ téléchargements)
  • Kylhavy Mobile Security (com.kylhavy.antivirus, plus de 10 000 téléchargements)

Les droppers sont conçus pour déposer une nouvelle version de SharkBot, surnommé V2 par la société de sécurité néerlandaise ThreatFabric, qui comprend un mécanisme de communication de commande et de contrôle (C2) mis à jour, un algorithme de génération de domaine (DGA) et une base de code entièrement refactorisée.

Fox-IT a déclaré avoir découvert une nouvelle version 2.25 le 22 août 2022, qui introduit une fonction pour siphonner les cookies lorsque les victimes se connectent à leurs comptes bancaires, tout en supprimant également la possibilité de répondre automatiquement aux messages entrants avec des liens vers le logiciel malveillant pour propagation. .

En évitant les autorisations d’accessibilité pour l’installation de SharkBot, le développement met en évidence que les opérateurs peaufinent activement leurs techniques pour éviter la détection, sans parler de trouver des méthodes alternatives face à Google. restrictions nouvellement imposées pour limiter l’utilisation abusive des API.

La cyber-sécurité

D’autres capacités notables de vol d’informations incluent l’injection de fausses superpositions pour récolter les informations d’identification des comptes bancaires, l’enregistrement des frappes au clavier, l’interception des messages SMS et la réalisation de transferts de fonds frauduleux à l’aide du système de transfert automatisé (ATS).

Il n’est pas surprenant que les logiciels malveillants constituent une menace évolutive et omniprésente, et malgré les efforts continus de la part d’Apple et de Google, les magasins d’applications sont susceptibles d’être abusés sans le savoir pour la distribution, les développeurs de ces applications essayant toutes les astuces du livre pour esquiver la sécurité. chèques.

« Jusqu’à présent, les développeurs de SharkBot semblent s’être concentrés sur le compte-gouttes afin de continuer à utiliser Google Play Store pour distribuer leurs logiciels malveillants dans les dernières campagnes », ont déclaré les chercheurs Alberto Segura et Mike Stokkel.



ttn-fr-57