Un nouveau malware a été découvert sur le Play Store. Il se cache dans des applications censées protéger les utilisateurs des virus. SharkBot est dans le viseur des experts en sécurité depuis octobre dernier. Ce cheval de Troie se niche dans des applications du Play Store en contournant les mesures de sécurité de Google. Récemment, des experts l’ont même trouvé dans plusieurs applications antivirus. À savoir, Antivirus, Super Cleaner ; Atom Clean-Booster, Antivirus ; Alpha Antivirus, Cleaner Where Powerful Cleaner, Antiviruss. À savoir qu’un cheval de troie s’apparente à un logiciel anodin. Pourtant, une fois introduit dans le système, il se transforme en réalité en logiciel malveillant. Il est donc classé dans la catégorie des malwares. Détourner le contrôle de sécurité Les chercheurs en sécurité du NCC Group expliquent que ce cheval de Troie, entièrement autonome, cible les applications bancaires. Autrement dit, SharkBot possède la capacité de retirer de l’argent du compte d’une victime. Et ce, sans le consentement de l’utilisateur. Pour se faire infecter, il suffit à l’utilisateur de télécharger une application disponible sur le Play Store officiel. “Le blog de Cleafy indique que le principal objectif de SharkBot est d’initier des transferts d’argent (à partir d’appareils compromis) via des systèmes de transfert automatique (ATS). D’après nos observations, il s’agit d’une technique d’attaque avancée qui n’est pas utilisée régulièrement dans les logiciels malveillants Android”, indiquent les chercheurs. En effet, en infiltrant un lieu sûr tel que le store de Google, les pirates induisent les utilisateurs en erreur, faussement rassurés par l’authenticité de la plateforme. Pour cela, les cybercriminels ont tout simplement contourné le contrôle de sécurité du Play Store. Un piratage en trois temps Dans la plupart des cas, c’est la victime qui ouvre ces accès au malware et lui permet de prendre le contrôle. En clair, l’application malveillante fonctionne sur trois niveaux. Dans la première étape de l’infection, le malware prétend être un antivirus. Ensuite, il se mute en une version réduite de SharkBot. La troisième étape consiste à mettre à jour la version mineure vers la version entièrement développée du malware. Les comptes bancaires sont ensuite librement accessibles au hacker. En clair, une fois actif, SharkBot contourne l’ensemble des mécanismes d’authentification. Concrètement, lorsqu’il détecte une application bancaire active, SharkBot effectue une “attaque par superposition”. Du côté de la victime, cela se traduit par l’apparition d’un écran similaire à celui de sa banque. Depuis celui-ci, elle va saisir ses identifiants, et ce, sans se rendre compte qu’elle les offre en réalité au pirate. Le programme prend ensuite la forme d’un keylogger. Autrement dit, il active un enregistreur de frappe, qui apporte toutes ces informations confidentielles aux serveurs du pirate sur un plateau d’argent. Prendre le contrôle des notifications Le malware s’inspire du fonctionnement de FluBot, qui lui permet de manipuler les notifications. Pour rappel, Flubot est un malware Android qui se propage par le biais de messages textuels. “Ces messages sont généralement truffés de fautes d’orthographe et indiquent que vous avez manqué un appel. Ils sont suivis d’un lien vers une application que vous pouvez télécharger pour écouter votre messagerie vocale”, indique le Cert. Autrement dit, SharkBot réussit son attaque en “abusant de la fonction Android ‘Direct Reply’. Cette fonction est utilisée pour envoyer automatiquement une notification de réponse contenant un message invitant à télécharger la fausse application antivirus. Cette stratégie de diffusion abusant de la fonction de réponse directe a été observée récemment dans un autre malware bancaire appelé Flubot, découvert par ThreatFabric”, explique l’équipe du NCC group. Plus précisément, le logiciel est capable de détourner les notifications entrantes et d’envoyer des messages qui semblent provenir de leur victime. De même, si le service utilise un système de validation des SMS, SharkBot a la capacité d’intercepter et de masquer ces SMS et prendre complètement le contrôle d’un smartphone Android. 60.000 victimes potentielles Au total, Antivirus, Super Cleaner ; Atom Clean-Booster, Antivirus ; Alpha Antivirus, Cleaner Where Powerful Cleaner, Antiviruss totalisent près de 60 000 installations. Point quelque peu rassurant, l’application Antivirus Super Cleaner n’est que très peu téléchargée. Toujours est-il que, pour les utilisateurs qui auraient téléchargé les quatre applications identifiées par les chercheurs, il est nécessaire de les désinstaller au plus vite de leurs smartphones. Pour savoir s’il est victime de ce logiciel, un utilisateur peut se rendre dans les paramètres afin d’y vérifier les autorisations accordées. À noter que Google a déjà pris des mesures en supprimant ces applications du Play Store.