Le trojan SharkBot, défavorablement connu des services de Google, a réussi à revenir sur le Play Store en intégrant des outils antivirus et de nettoyage. A priori, seules deux applications sont concernées… mais elles ont déjà été téléchargées plusieurs milliers de fois.
Se faire passer pour inoffensif et être pourtant dévastateur, voilà l'essence même d'un cheval de Troie, et c'est exactement ce que SharkBot a de nouveau réussi à faire. Le célèbre trojan Android s'illustre en effet par une nouvelle apparition sur le Google Play Store… et bien évidemment, sous une forme parfaitement innocente, du moins de prime abord.
L'infection via une mise à jour anodine…
« Ce nouveau dropper ne s'appuie pas sur les autorisations d'accessibilité pour effectuer automatiquement l'installation du malware Sharkbot », explique Fox-IT, l'équipe de chercheurs à l'origine de la découverte. « Au lieu de cela, cette nouvelle version demande à la victime d'installer le malware comme une fausse mise à jour de l'antivirus pour rester protégé contre les menaces. »
En l'occurrence, seules deux applications sont concernées, en tout cas à ce stade : Mister Phone Cleaner et Kylhavy Mobile Security. Cela peut paraître peu, mais ces deux outils ont déjà été téléchargés plus de 60 000 fois en tout (plus de 50 000 fois pour le premier et plus de 10 000 fois pour le second). Ces applis sont par ailleurs conçues pour viser principalement l'Espagne, la Pologne, l'Allemagne, l'Autriche, l'Australie et les États-Unis.
Près de 60 000 installations en tout
Comme le précise The Hacker News, ces deux applications ouvrent une porte à l'installation de la seconde version de SharkBot. Cette dernière est encore plus nuisible que la première : elle comporte notamment un nouveau mécanisme de communication de commande et de contrôle (C2), un algorithme de génération de domaine (DGA) et une base de code entièrement remaniée, lit-on.
Avec cet arsenal renouvelé, SharkBot peut notamment capter les cookies des utilisateurs lorsqu'ils se connectent à leurs comptes bancaires, mais aussi injecter de faux overlays pour récolter des informations d'identification bancaires, enregistrer des saisies au clavier, intercepter des SMS ou effectuer des transferts de fonds frauduleux en passant par le système de transfert automatique (ATS).
Sources : Fox IT, The Hacker News
Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !
Lire d'autres articles
