Il s’appelle SharkBot, il est de retour dans le PlayStore et il est devenu redoutable. Ce cheval de Troie automatise plusieurs procédures pour parvenir à exploiter les applications bancaires installées sur un smartphone Android et envoyer de l’argent à son opérateur.


au sommaire


    Encore une fois, et malgré les efforts menés par GoogleGoogle au niveau de son Play Store, les mobilesmobiles AndroidAndroid souffrent toujours d'inquiétants problèmes de sécurité. Parmi les menaces du moment, il y a SharkBot, un cheval de Troie qui est spécialisé dans le vol de coordonnées bancaires. Le malware avait déjà fait parler de lui en octobre 2021 après sa découverte par l'équipe de Cleafy Threat Intelligence. Il disposait déjà de caractéristiques qui le classaient dans une catégorie à part. Il était alors considéré comme une nouveauté à surveiller de près en raison de sa dangerosité et de son fonctionnement différent de tous les autres malwares de sa catégorie.

    Aujourd'hui, il revient s'installer dans le Play StoreStore en dupant les mesures de sécurité. Il se trouve dans des applicationsapplications censées être spécialisées dans la sécurité et la protection des données... Un comble ! Des applications qui sont téléchargées des dizaines de milliers de fois et dont les fiches disposent de nombreux commentaires positifs pour rassurer l'utilisateur. Le malware a la particularité d'être totalement autonome. Il va chercher les applications bancaires installées pour s'y connecter et transférer des sommes d'argentargent vers les comptes de ses opérateurs. Si le code de SharkBot ne semble pas nuisible lorsque l'application est installée, c'est parce que la charge utile est récupérée plus tard.

    Le malware SharkBot se loge dans des applications liées à la protection des données et à la sécurité, comme pour cette application. © NCC Group
    Le malware SharkBot se loge dans des applications liées à la protection des données et à la sécurité, comme pour cette application. © NCC Group

    C’est la victime qui presse le bouton rouge

    Pour piller les comptes bancaires, le malware utilise des systèmes de transfert automatique (ATS). Cette technique est assez rare et permet à l'opérateur de remplir automatiquement les champs des applications bancaires mobiles légitimes pour réaliser des transferts d'argent. Pour SharkBot, il est aisé de duper l'application bancaire puisque il sait simuler l'activation des boutons et des touches du clavier.

    SharkBot utilise plusieurs stratégies pour arriver à pénétrer l'application bancaire. Il peut voler des informations d'identification en affichant immédiatement un site d'hameçonnagehameçonnage dès que l'application bancaire est ouverte. Il peut également exploiter un Keylogger qui va enregistrer la saisie d'identifiants. Et si toutefois l'application utilise une validation par SMS, il est capable d'intercepter et de masquer les SMS pour utiliser leur contenu. Il est également possible à l'opérateur de contrôler l'appareil à distance.

    Dans tous les cas et comme souvent, c'est la victime qui permet au malware de s'exprimer librement en accordant lors de son installation les autorisations d'accès à l'application qui l'héberge. Ces autorisations vont très loin puisqu'elles donnent accès à tout ce qui se passe sur le mobile. La société de sécurité NCC Group, qui a rédigé un article complet sur le fonctionnement de ce malware, a prévenu Google pour qu'il puisse retirer au plus vite les applications vérolées du Play Store. Le cheval de Troie devrait à nouveau disparaitre... jusqu'à la prochaine fois.