SharkBot est redoutable car il n’est pas détecté par la sécurité du PlayStore. Il récupère sa charge virale une fois installé. © Markomarcello, Adobe Stock
Tech

Des antivirus pour Android cachent un malware qui vole les coordonnées bancaires !

ActualitéClassé sous :Sécurité , Android , malware

-

Il s'appelle SharkBot, il est de retour dans le PlayStore et il est devenu redoutable. Ce cheval de Troie automatise plusieurs procédures pour parvenir à exploiter les applications bancaires installées sur un smartphone Android et envoyer de l'argent à son opérateur.

Cela vous intéressera aussi

[EN VIDÉO] Kézako : comment fonctionne un réseau de téléphonie mobile ?  Chaque jour des milliers d’appels sont passés en France depuis un téléphone portable. Permettant de rester en contact facilement et presque partout, le smartphone fonctionne cependant avec un réseau de téléphonie mobile complexe. L’université de Lille 1 et Unisciel nous expliquent ses secrets en vidéo dans cet épisode de Kézako. 

Encore une fois, et malgré les efforts menés par Google au niveau de son Play Store, les mobiles Android souffrent toujours d'inquiétants problèmes de sécurité. Parmi les menaces du moment, il y a SharkBot, un cheval de Troie qui est spécialisé dans le vol de coordonnées bancaires. Le malware avait déjà fait parler de lui en octobre 2021 après sa découverte par l'équipe de Cleafy Threat Intelligence. Il disposait déjà de caractéristiques qui le classaient dans une catégorie à part. Il était alors considéré comme une nouveauté à surveiller de près en raison de sa dangerosité et de son fonctionnement différent de tous les autres malwares de sa catégorie.

Aujourd'hui, il revient s'installer dans le Play Store en dupant les mesures de sécurité. Il se trouve dans des applications censées être spécialisées dans la sécurité et la protection des données... Un comble ! Des applications qui sont téléchargées des dizaines de milliers de fois et dont les fiches disposent de nombreux commentaires positifs pour rassurer l'utilisateur. Le malware a la particularité d'être totalement autonome. Il va chercher les applications bancaires installées pour s'y connecter et transférer des sommes d'argent vers les comptes de ses opérateurs. Si le code de SharkBot ne semble pas nuisible lorsque l'application est installée, c'est parce que la charge utile est récupérée plus tard.

Le malware SharkBot se loge dans des applications liées à la protection des données et à la sécurité, comme pour cette application. © NCC Group

C’est la victime qui presse le bouton rouge

Pour piller les comptes bancaires, le malware utilise des systèmes de transfert automatique (ATS). Cette technique est assez rare et permet à l'opérateur de remplir automatiquement les champs des applications bancaires mobiles légitimes pour réaliser des transferts d'argent. Pour SharkBot, il est aisé de duper l'application bancaire puisque il sait simuler l'activation des boutons et des touches du clavier.

SharkBot utilise plusieurs stratégies pour arriver à pénétrer l'application bancaire. Il peut voler des informations d'identification en affichant immédiatement un site d'hameçonnage dès que l'application bancaire est ouverte. Il peut également exploiter un Keylogger qui va enregistrer la saisie d'identifiants. Et si toutefois l'application utilise une validation par SMS, il est capable d'intercepter et de masquer les SMS pour utiliser leur contenu. Il est également possible à l'opérateur de contrôler l'appareil à distance.

Dans tous les cas et comme souvent, c'est la victime qui permet au malware de s'exprimer librement en accordant lors de son installation les autorisations d'accès à l'application qui l'héberge. Ces autorisations vont très loin puisqu'elles donnent accès à tout ce qui se passe sur le mobile. La société de sécurité NCC Group, qui a rédigé un article complet sur le fonctionnement de ce malware, a prévenu Google pour qu'il puisse retirer au plus vite les applications vérolées du Play Store. Le cheval de Troie devrait à nouveau disparaitre... jusqu'à la prochaine fois.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !