La dernière version du malware SharkBot utilise des applications dropper et cible désormais également les connexions aux comptes bancaires des utilisateurs d’Android.

Une nouvelle version du malware SharkBot est apparue sur le Google Play Store. Découvert pour la première fois par l’équipe Cleafy Threat Intelligence en octobre 2021, le malware cible désormais également les identifiants bancaires des utilisateurs d’Android.

Les applications Dropper ouvrent la porte à SharkBot

Pour infiltrer le système, le SharkBot utilise des applications dites dropper, qui ont des dizaines de milliers d’installations dans le Play Store. De faux antivirus et programmes de nettoyage Android sont souvent utilisés dans le processus. Cependant, les applications dropper elles-mêmes ne contiennent aucun code malveillant, c’est pourquoi la vérification automatique de Google ne les reconnaît pas comme des logiciels malveillants.

Mais une fois que l’utilisateur a installé et démarré les applications, il recharge le code malveillant sous la forme d’une supposée mise à jour. Ils demandent ensuite à l’utilisateur d’installer le fichier APK SharkBot malveillant et d’accorder toutes les autorisations nécessaires.

Fox IT, qui fait partie du groupe NCC, a partagé plus d’informations sur l’incident dans un article de blog. Les deux applications Dopper identifiées par les chercheurs sont «Monsieur Nettoyeur de téléphone » et « Sécurité Mobile Kylhavy“. Selon le rapport, ceux-ci comptent ensemble environ 60 000 installations. Google a maintenant supprimé les deux applications du magasin. Cependant, les utilisateurs qui les ont déjà installés sont toujours à risque.

Les développeurs de logiciels malveillants ne se lassent jamais

Même dans sa première version, le SharkBot était capable de mener des attaques par superposition, de voler des données via l’enregistrement de frappe, d’intercepter des SMS ou de permettre à un attaquant de contrôler l’appareil à distance. Pour ce faire, le malware a parfois abusé des services d’accessibilité du système. La deuxième version, découverte par les chercheurs de ThreatFabric en mai 2022, continuait de proposer entre autres un protocole de communication mis à jour et un code source entièrement revu.

Dans la dernière variante de la version 2.25, le logiciel malveillant est désormais également capable de voler les cookies des connexions aux comptes bancaires. Une fois que la victime se connecte à son compte bancaire, SharkBot utilise une nouvelle commande pour saisir le cookie de session valide et l’envoyer à un serveur de commande et de contrôle. Cela permet parfois aux attaquants de prendre le contrôle des comptes de leurs victimes.

Les chercheurs de Fox IT supposent que le malware SharkBot continuera à être optimisé à l’avenir et qu’il continuera à se développer. Nous pouvons donc rester curieux de savoir quand il trouvera ensuite sa place dans le Play Store.