Dans le Google Play Store, les applications Kylhavy Mobile Security et Mister Phone Cleaner pour Android se présentaient respectivement comme un antivirus et un outil de nettoyage. Elles ont accumulé à elles deux de l’ordre de 60 000 installations avant leur retrait de la boutique d’applications.
En réalité malveillantes, ces deux applications ont été un vecteur pour le retour dans le Google Play Store du cheval de Troie bancaire SharkBot. En l’occurrence, une nouvelle version de ce malware via une demande de mise à jour des outils afin de soi-disant assurer une protection contre des menaces.
Après interaction de l’utilisateur
La fois précédente, la charge utile malveillante reposait sur l’autorisation – et un abus – des services d’accessibilité lors de l’installation d’applications. Avec la nouvelle variante de SharkBot, cela dépend de l’interaction de l’utilisateur et ne relève plus d’une procédure automatique.
Pour les chercheurs en cybersécurité de Fox IT (NCC Group), c’est peut-être moins efficace au final, mais cela complexifie la détection avant publication dans le Google Play Store, dans la mesure où des autorisations d’accessibilité nécessaires sont toujours suspectes.
C’est après une communication avec le serveur de commande et contrôle qu’un utilisateur est averti qu’une mise à jour est disponible. Il lui est demandé d’installer un fichier APK et d’accorder les autorisations requises.
SharkBot en veut aussi aux cookies
En plus du vol d’identifiants bancaires en affichant un faux site web dans une WebView, l’enregistrement des frappes au clavier, l’interception de SMS et des transferts de fonds frauduleux en utilisant le système de transfert automatique, la nouvelle version de SharkBot introduit le vol des cookies de session des victimes qui se connectent à leur compte bancaire.
Les nouvelles campagnes d’attaque avec SharkBot auraient pour cible l’Australie, les États-Unis et plusieurs pays d’Europe (Allemagne, Autriche, Espagne, Pologne).