Une version mise à jour d’une application bancaire et cryptographique ciblée par les logiciels malveillants est récemment réapparue sur le Google Play Store, avec désormais la possibilité de voler les cookies des connexions de compte et de contourner les exigences d’empreintes digitales ou d’authentification.
L’analyste des logiciels malveillants Alberto Segura et l’analyste du renseignement Mike Stokkel ont partagé un avertissement concernant la nouvelle version du logiciel malveillant sur les comptes Twitter le 2 septembre, partageant leur article co-écrit sur le blog Fox IT.
Nous avons découvert une nouvelle version de #SharkbotDropper dans Google Play utilisé pour télécharger et installer #requinbot! Des goutteurs trouvés ont été utilisés dans une campagne ciblant le Royaume-Uni et l’informatique ! Bon travail @Mike_stokkel! https://t.co/uXt7qgcCXb
– Alberto Segura (@alberto__segura) 2 septembre 2022
Selon Segura, la nouvelle version du logiciel malveillant a été découverte le 22 août et peut « effectuer des attaques par superposition, voler des données via l’enregistrement de frappe, intercepter des messages SMS ou donner aux pirates un contrôle à distance complet de l’appareil hôte en abusant des services d’accessibilité. ”
La nouvelle version du logiciel malveillant a été trouvée dans deux applications Android : “Mister Phone Cleaner” et “Kylhavy Mobile Security”, qui ont depuis enregistré respectivement 50 000 et 10 000 téléchargements.
Les deux applications ont d’abord pu arriver sur le Play Store car l’examen automatisé du code de Google n’a détecté aucun code malveillant, bien qu’il ait depuis été supprimé du magasin.
Certains observateurs suggèrent que les utilisateurs qui ont installé les applications peuvent toujours être à risque et doivent supprimer les applications manuellement.
Une analyse approfondie de la société de sécurité italienne Cleafy a révélé que SharkBot avait identifié 22 cibles, dont cinq bourses de crypto-monnaie et plusieurs banques internationales aux États-Unis, au Royaume-Uni et en Italie.
En ce qui concerne le mode d’attaque du logiciel malveillant, la version précédente du logiciel malveillant SharkBot “s’appuyait sur les autorisations d’accessibilité pour installer automatiquement le compte-gouttes du logiciel malveillant SharkBot”.
Mais cette nouvelle version est différente car “elle demande à la victime d’installer le malware comme une fausse mise à jour afin que l’antivirus reste protégé contre les menaces”.
Une fois installé, si une victime se connecte à sa banque ou à son compte crypto, SharkBot peut récupérer son cookie de session valide via la commande “logsCookie”, qui contourne essentiellement toute méthode d’identification ou d’authentification utilisée.
C’est intéressant!
Le logiciel malveillant Sharkbot pour Android annule les boîtes de dialogue “Se connecter avec votre empreinte digitale” afin que les utilisateurs soient obligés d’entrer un nom d’utilisateur et un mot de passe
(selon @foxit article de blog) pic.twitter.com/fmEfM5h8Gu– Łukasz (@maldr0id) 3 septembre 2022
La première version du malware SharkBot a été la première découvert par Cleafy en octobre 2021.
Lié: L’application Google Translate fausse et sournoise installe un cryptomineur sur 112 000 PC
Selon la première analyse Cleafy de SharkBot, l’objectif principal de SharkBot était “d’initier des transferts d’argent à partir des appareils compromis via la technique des systèmes de transfert automatique (ATS) en contournant les mécanismes d’authentification multifacteur”.
“Introverti hardcore. Pionnier de la bière. Amoureux d’Internet. Analyste. Spécialiste de l’alimentation. Passionné de médias sociaux.”