Les trojans SharkBot et Vultur s’invitent à nouveau dans le Play Store d’Android. Distribués via cinq applications infectées, ces chevaux de Troie visent à dérober vos informations bancaires.
Identifiées par les chercheurs de la société de cybersécurité ThreatFabric, les applications touchées compromettent la sécurité des smartphones et tablettes Android, et permettent aux pirates de siphonner des informations bancaires. 231 institutions financières sont visées en France, mais aussi en Allemagne, en Espagne ou en Italie.
Inoffensives en apparence
Comme souvent, ces logiciels malveillants trouvent leur place dans des applications du quotidien : gestionnaire de fichiers, suivi de budget, générateur de codes pour l’authentification à deux facteurs… Voici la liste des cinq applications squattées par ces malwares :
- Codice Fiscale 2022
- File Manager Small, Lite
- My Finances Tracker
- Recover Audio, Images & Videos
- Zetter Authenticator
Fonctionnelles, toutes étaient disponibles sur le fameux magasin d’applications de Google. Et elles enregistrent des milliers de téléchargements : plus de 100 000 pour Recover Audio, Images & Videos, plus de 10 000 pour Zetter Authenticator ou Codice Fiscale, ou encore 1 000 pour My Finances Tracker.
À l’heure où nous écrivons ces lignes, la plupart ont été supprimées, mais Zetter reste accessible au téléchargement.
La sécurité de Google contournée
Alors que les règles de sécurité de Google ne cessent de se durcir pour les développeurs, les pirates ne manquent pas d’imagination pour atteindre leurs cibles. Les applications sont passées à travers les mailles du filet en employant la méthode du sideloading, qui consiste à installer des packages d'installation en passant par une page web extérieure au store d'applications. Par exemple, les malfrats peuvent faire ouvrir une fausse page du Google Play Store à l’utilisateur, sous prétexte d’une mise à jour et obtenir des droits avancés sur l’appareil pour contourner les restrictions ou pour installer des keyloggers.
Une fois ces applications fonctionnelles, les pirates « respectent les nouvelles politiques de sécurité, en se faisant passer pour des gestionnaires de fichiers, et contournent les limitations […] » expliquent les experts de ThreatFabric. Il s’agit là de pratiques « accessibles et exploitables à grande échelle », ajoutent-ils.
D’après la société spécialisée en sécurité mobile, ces méthodes permettent de toucher rapidement beaucoup d’utilisateurs. Alors que Cyble vient d’annoncer la découverte d’une nouvelle version du Cheval de Troie Drinik, l’arsenal pour cibler Android est bel et bien complet.
Sources : The Hacker News,Threatfabric
