SharkBot, un redoutable Malware bancaire caché dans un antivirus pour Android

SharkBot, un redoutable Malware bancaire caché dans un antivirus pour Android

Des chercheurs du groupe NCC ont signalé une nouvelle génération du cheval de Troie bancaire dans Google Play Store. Il s’agit de SharkBot. Ce Malware n’est pas nouveau, mais cette nouvelle version serait nettement plus redoutable. 

SharkBot, un Mlaware de nouvelle génération

La société de cybersécurité Cleafy a découvert et baptisé SharkBot pour la première fois en octobre 2021. Les chercheurs estimaient que ce nouveau logiciel malveillant était à surveiller sans s’en inquiéter particulièrement. 

Les analyses des chercheurs ont permis de conclure que le Malware était à ce moment-là dans sa première phase de développement. Mais déjà, l’équipe l’a qualifié de Malware de nouvelle génération. Le logiciel malveillant possède en effet la capacité d’effectuer des attaques ATS à l’intérieur de l’appareil infecté. Il s’agit d’une technique avancée, encore peu connue sur Android. 

Selon les chercheurs de Cleafy, cette technique « permet aux attaquants de remplir automatiquement les champs dans les applications bancaires mobiles légitimes et d’initier des transferts d’argent à partir des appareils compromis ». 

Un Malware hébergé par une application antivirus

Fin février, les chercheurs de NCC Group ont repéré une nouvelle version de SharkBoy sur Google Play Store. Le Malware distribué via des applications antivirus a déjà été téléchargé plus de 57 000 fois.

Les acteurs de la menace ont notamment déployé SharkBot via les applications suivantes : Super Cleaner, Atom Clean-Booster, Alpha Antivirus Cleaner et Powerful Cleaner Antivirus. Ce dernier comptabilise plus de 50 000 installations si les autres ont touché entre 500 et 5 000 utilisateurs.

Très furtif, SharkBot a recours à plusieurs stratagèmes pour échapper à la détection. Il utilise notamment les techniques d’obscurcissement pour masquer ses commande. Les hackers ont aussi intégré un Anti-émulateur, un ATS externe, un anti-suppression ainsi que le cryptage des communications entre le Malware et C2.

Des fonctionnalités avancées

SharkBot, un redoutable Malware bancaire caché dans un antivirus pour Android

Les pirates utilisent les chevaux de Troie bancaires pour collecter des informations d’identification et d’autres informations financières et personnelles stockées sur l’appareil cible. Au-delà de cette fonction première, SharkBoy à la capacité de transférer directement l’argent d’un compte compromis vers ceux des pirates.

Ce Malware peut  lire et masquer les messages SMS reçus sur l’appareil de l’utilisateur infecté. Cette fonctionnalité lui permet d’intercepter les messages 2FA envoyés par les banques.

SharkBot lance ensuite une attaque par superposition pour exfiltrer les données (identifiants, informations sur les cartes de crédit, cryptomonnaie …). Une fois installé, le Malware n’affiche aucune icône, mais continue d’inviter l’utilisateur à lui accorder l’accès à Android Accessibility

Grâce à cette accessibilité, le Malware permet le contrôle à distance de l’appareil Android infecté en plus de pouvoir masquer et intercepter les SMS. Cela lui permet aussi d’installer  des enregistreurs de frappe et exfiltrer les informations d’identification.

Pour protéger votre appareil Android des Malware, choisissez et installez un outil de protection parmi notre top des meilleurs antivirus.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest