histats

De fausses applications antivirus sur Play Store chargées du cheval de Troie bancaire SharkBot

De fausses applications antivirus sur Play Store chargées du cheval de Troie bancaire SharkBot

Le cheval de Troie SharkBot a été trouvé dans quatre fausses applications antivirus sur le Google Play Store avec un total de 57 000 téléchargements.

Des chercheurs britanniques en sécurité informatique du groupe NCC ont découvert une version mise à jour du cheval de Troie bancaire malveillant SharkBot caché dans une application antivirus disponible sur Google Play Store.

Des applications malveillantes cachent le malware SharkBot

La nouvelle version de SharkBot est cachée dans une fausse application antivirus, qui agit comme une pilule empoisonnée à 3 couches. La première couche se fait passer pour un antivirus, tandis que la deuxième couche propose une version réduite de SharkBot.

Le malware télécharge ensuite sa dernière version avec un large éventail de fonctionnalités. Les chercheurs ont vu la dernière version de SharkBot le 28 février 2022.

De nombreuses applications Play Store qui exploitent les logiciels malveillants

Les chercheurs du groupe NCC ont en outre noté que plusieurs autres applications de compte-gouttes exploitent également la fonction de réponse directe d’Android pour infecter d’autres appareils. Par conséquent, par FluBotSharkBot est le deuxième cheval de Troie bancaire capable d’intercepter les alertes d’attaques pouvant être utilisées à des fins malveillantes.

Le chercheur a également publié la liste des applications malveillantes, avec un total de 57 000 téléchargements. Les applications incluent :

  1. Antivirus Super Cleaner (1000+ installations).
  2. Alpha Antivirus Cleaner (plus de 5000 installations).
  3. Antivirus Atom Clean-Booster (plus de 500 installations).
  4. Puissant Cleaner Antivirus (plus de 50 000 installations).
See also  C'est ainsi que vous vous assurez que votre activité en ligne ne connaît pas de revers techniques

À propos des logiciels malveillants SharkBot

SharkBot est un cheval de Troie bancaire d’accès à distance découvert pour la première fois dans la nature en octobre-novembre 2021 par des chercheurs en sécurité de Cleafy. À l’époque, les chercheurs ont conclu que le logiciel malveillant était unique et n’avait aucune similitude ou connexion avec d’autres logiciels malveillants. Xénomorphe ou ThéBot.

Ils ont en outre expliqué que SharkBot était un malware hautement sophistiqué. Comme leurs homologues, par ex. FluBot, TeaBot et Oscorp/UBEL, c’est un cheval de Troie financier qui peut obtenir des informations d’identification pour transférer de l’argent à partir d’appareils compromis. Pour effectuer le transfert, SharkBot contourne les mécanismes MFA.

Caractéristiques uniques de SharkBot

Ce qui distingue SharkBot, c’est le système de transfert automatique ou ATS. Ce système unique permet aux attaquants de transférer automatiquement de l’argent du compte de la victime sans intervention humaine.

SharkBot peut également effectuer facilement des transactions non autorisées via le mécanisme ATS. C’est ce qui le rend différent de TeaBot car il nécessite l’intervention d’un opérateur en direct pour effectuer des activités malveillantes sur les appareils infectés.

Alberto Segura et Rolf Govers, analystes des logiciels malveillants du groupe NCC, ont expliqué la fonctionnalité ATS dans leur rapport publié la semaine dernière :

Les fonctionnalités ATS permettent au malware de recevoir une liste d’événements à simuler et ils seront simulés pour effectuer les transferts d’argent. Étant donné que ces fonctionnalités peuvent être utilisées pour simuler des touches/clics et des pressions sur des boutons, elles peuvent être utilisées non seulement pour transférer de l’argent automatiquement, mais également pour installer d’autres applications ou composants malveillants.


Alberto Segura

Cela signifie qu’ATS est utilisé pour tromper le système de détection de fraude d’une banque en créant une séquence similaire d’actions qu’un utilisateur pourrait autrement effectuer pour terminer la transaction, comme un clic ou une pression sur un bouton.

See also  Okta dit que le piratage par le groupe LAPSUS$ a peut-être capturé 366 jetons

Plus d’actualités sur les logiciels malveillants du Play Store

  1. L’application Squid Game sur le Play Store a propagé le malware Joker
  2. Nouveau malware ‘BlackRock’ déguisé en application Android Clubhouse
  3. 300 000 utilisateurs d’Android touchés par des applications malveillantes dans le Play Store
  4. Une fausse application Netflix sur Play Store surprise en train de détourner des sessions WhatsApp
  5. Des téléphones Android piratés se sont fait passer pour des produits de télévision connectés pour de fausses impressions publicitaires

SharkBot – Un logiciel malveillant riche en fonctionnalités

Les chercheurs en cybersécurité du groupe NCC affirment que SharkBot est un logiciel malveillant extrêmement riche en fonctionnalités. Il permet à un attaquant d’injecter de fausses superpositions sur les applications bancaires officielles pour obtenir un contrôle à distance complet du ou des appareils infectés, enregistrer les frappes au clavier et voler les informations d’identification.

Cependant, il prendra le contrôle d’un appareil si la victime lui donne Autorisation pour les services d’accessibilité. Le logiciel malveillant effectue une attaque par superposition dès qu’il détecte une application bancaire active. Il affiche un écran similaire à l’application et demande les informations d’identification de l’utilisateur tout en activant secrètement un enregistreur de frappe. Quel que soit le type d’utilisateur, il est envoyé au serveur de l’attaquant.

De plus, le logiciel malveillant peut intercepter et masquer les messages SMS, détourner les notifications entrantes et envoyer des messages provenant du serveur C2 des attaquants. Grâce à ces tactiques, il peut prendre le contrôle total d’un smartphone Android.

You may also like...

Leave a Reply

Your email address will not be published.