Le malware de fraude bancaire Android connu sous le nom de SharkBot a de nouveau fait son apparition sur le Google Play Store officiel, se faisant passer pour des gestionnaires de fichiers pour contourner les restrictions du marché des applications. La majorité des utilisateurs qui ont téléchargé les applications malveillantes se trouvent au Royaume-Uni et en Italie, a déclaré la société roumaine de cybersécurité Bitdefender dans une analyse publiée cette semaine. SharkBot, découvert pour la première fois vers la fin de 2021 par Cleafy, est une menace mobile récurrente distribuée à la fois sur le Google Play Store et d’autres magasins d’applications tiers. L’un des principaux objectifs du cheval de Troie est d’initier des transferts d’argent à partir d’appareils compromis via une technique appelée « système de transfert automatique » (ATS), dans laquelle une transaction déclenchée via une application bancaire est interceptée pour échanger le compte du bénéficiaire avec un compte contrôlé par un acteur dans l’arrière-plan. Il est capable de servir une fausse superposition de connexion lorsque les utilisateurs tentent d’ouvrir des applications bancaires légitimes, en volant les informations d’identification dans le processus. Souvent, ces applications offrent des fonctionnalités apparemment inoffensives, se faisant passer pour des logiciels antivirus et des nettoyeurs pour se faufiler dans Google Play Store. Mais ils servent également de compte-gouttes qui, une fois installés sur l’appareil, peuvent récupérer la charge utile des logiciels malveillants.

Les applications de compte-gouttes, maintenant supprimées, sont ci-dessous –

  • X-File Manager (com.victorsoftice.llc) – 10 000+ téléchargements
  • FileVoyager (com.potsepko9.FileManagerApp) – 5 000+ téléchargements
  • LiteCleaner M (com.ltdevelopergroups.litecleaner.m) – 1 000+ téléchargements

L’application X-File Manager, qui n’est accessible qu’aux utilisateurs en Italie, a attiré plus de 10 000 téléchargements avant d’être supprimée. Alors que Google réprime régulièrement les abus d’autorisations, le choix de l’auteur de la menace d’utiliser un gestionnaire de fichiers comme leurre n’est pas surprenant. En effet, la politique du programme pour les développeurs de Google limite l’autorisation d’installer des packages externes (REQUEST_INSTALL_PACKAGES) à quelques catégories d’applications : navigateurs Web, messageries instantanées prenant en charge les pièces jointes, gestionnaires de fichiers, gestion des appareils d’entreprise, sauvegarde et restauration, et transfert d’appareils. Invariablement, cette autorisation est utilisée abusivement pour télécharger et installer des logiciels malveillants à partir d’un serveur distant. Certaines des applications bancaires ciblées incluent Bank of Ireland, Bank of Scotland, Barclays, BNL, HSBC U.K., Lloyds Bank, Metro Bank et Santander. « L’application [c’est-à-dire le compte-gouttes] effectue des vérifications anti-émulateur et cible les utilisateurs de Grande-Bretagne et d’Italie en vérifiant si l’ISO SIM correspond à IT ou GB », ont déclaré les chercheurs de Bitdefender. Il est recommandé aux utilisateurs qui ont installé les applications susmentionnées de les supprimer et de modifier immédiatement les mots de passe de leur compte bancaire. Il est également conseillé aux utilisateurs d’activer Play Store Protect et d’examiner attentivement les évaluations et les avis des applications avant de les télécharger.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *