Une version plus récente d'un malware qui cible les applis bancaires et crypto a récemment refait surface sur Google PlayStore. Elle est désormais capable de voler les cookies des comptes de connexion et de contourner les procédures de vérification des empreintes digitales ou d'authentification.

Le 2 septembre, les analystes Alberto Segura, spécialisé dans les logiciels malveillants, et Mike Stokkel, spécialisé dans les renseignements sur les traitements, ont lancé un avertissement à propos de la dernière version de ce logiciel malveillant sur leurs comptes Twitter, dans un article qu'ils ont co-écrit sur le blog Fox IT.

Nous avons découvert une nouvelle version de #SharkbotDropper sur Google Play qui sert à télécharger et installer #Sharkbot ! Les droppers découverts ont servi dans une campagne dirigée contre le Royaume-Uni et l'informatique ! Très bon job @Mike_stokkel ! https://t.co/uXt7qgcCXb

- Alberto Segura (@alberto__segura) Le 2 septembre 2022

Selon Segura, cette nouvelle version du malware a été découverte le 22 août. Elle est capable « de perpétrer des attaques par superposition, de voler des données par keylogging, d'intercepter des SMS et de permettre aux développeurs du malware de prendre le contrôle total à distance de l'appareil hôte par l'utilisation frauduleuse des services d'accessibilité ».

La nouvelle version du malware a été identifiée dans deux applications Android, « Mister Phone Cleaner » et « Kylhavy Mobile Security », qui ont déjà été respectivement téléchargés 50 000 et 10 000 fois.

C'est parce que le protocole d'examen automatisé de code mis en place par Google n'a pas pu détecter de code malveillant dans ces deux applications qu'elles ont réussi à se retrouver sur PlayStore. Toutefois, dès qu'elles ont été identifiées, elles ont été retirées de la plateforme.

Selon certains observateurs, les utilisateurs qui ont installé lesdites applications sans avoir connaissance du danger qu'elles représentaient sont peut-être encore en danger. Ils estiment qu'ils devraient les supprimer manuellement de leurs smartphones.

Une analyse approfondie menée par la société de sécurité Cleafy basée en Italie, a révélé que le virus SharkBot avait déjà touché 22 cibles, au nombre desquelles on distingue cinq exchanges crypto et un certain nombre de banques internationales basées aux États-Unis, au Royaume-Uni et en Italie.

Pour ce qui est de son mode d'attaque, la version précédente du malware SharkBot « exploitait les autorisations d'accessibilité pour installer le malware dropper SharkBot automatiquement ».

Cependant, la dernière version diffère en ce qu'elle « demande à sa cible d'installer le malware comme s'il s'agissait d'une mise à jour de l'antivirus afin de se protéger des menaces ».

Une fois installé, si la victime se connecte à son compte bancaire ou crypto, SharkBot est capable d'arracher son cookie de session valide via la commande « logsCookie », qui contourne pratiquement tous les protocoles de vérification d'empreintes digitales et toutes les méthodes d'authentification.

Très intéressant !
Le malware Android Sharkbot annule les boîtes de dialogue « Connectez-vous en vérifiant vos empreintes digitales » pour obliger les utilisateurs à leur nom d'utilisateur et leur mot de passe
(selon l'article du blog de @foxit) pic.twitter.com/fmEfM5h8Gu

- Łukasz (@maldr0id) 3 septembre 2022

La première version du malware SharkBot a été découverte par Cleafy en octobre 2021.

À lire également :  Une fausse application Google Translate installe un mineur de cryptomonnaies sur 112 000 ordinateurs

Selon la première analyse de Cleafy, l'objectif principal que visait SharkBot était « de lancer des opérations de transfert d'argent depuis les appareils attaqués grâce à la technique des systèmes de transfert automatique (ATS) et en contournant les mécanismes d'authentification multi-facteurs ».