Un dangereux cheval de Troie bancaire Android appelé SharkBot, qui a fait surface pour la première fois en octobre dernier et continue de circuler dans la nature, est le dernier exemple de la persistance d’un acteur menaçant:
Est d’ essayer de distribuer des logiciels malveillants mobiles via la boutique
d’applications mobiles de confiance Google Play.
Le logiciel malveillant
que son découvreur a décrit comme
" de la nouvelle génération "
Il utilise des appareils Android compromis pour transférer subrepticement de l’argent hors des comptes bancaires lorsque la victime y est connectée, en contournant les contrôles d’authentification multifacteur dans le processus.
SharkBot peut également voler des informations d’identification et des données de carte de crédit et intègre plusieurs fonctionnalités conçues pour compliquer ou ralentir la détection.
Au cours du mois dernier, des chercheurs de « Check Point Research » ont identifié au moins six applications différentes sur Google Play Store. Ils se faisaient passer pour un logiciel antivirus légitime, mais qui étaient plutôt utilisées pour déposer SharkBot sur les appareils de ceux qui téléchargeaient ces applications.
Les six applications ont été téléchargées à partir de trois comptes de développeur distincts et ont été téléchargées plus de 15 000 fois au cours de la période relativement courte pendant laquelle elles étaient disponibles sur Play.
« Check Point » a découvert quatre des applications distribuant SharkBot le 23 février 2022 et l’a signalé à Google le 3 mars? Le même jour « Webmaster-Alsace » a, par ailleurs signalé avoir trouvé la même menace dans la boutique d’applications mobiles officielle de Google.
Google a supprimé les applications malveillantes de Google Play environ une semaine plus tard. Mais moins d’une semaine plus tard, puis une semaine après, « Check Point » en a découvert deux autres contenant le logiciel malveillant sur Google Play.
À ces deux occasions, l’équipe de sécurité de Google a agi rapidement pour supprimer les menaces avant que les utilisateurs ne les téléchargent.
Un porte-parole de Google a confirmé que la société avait supprimé toutes les traces du logiciel malveillant de Play Store.
Dans un blog cette semaine, « Check Point » a mis en évidence plusieurs fonctionnalités de SharkBot qui expliquent dans une certaine mesure comment les auteurs du logiciel malveillant ont pu contourner les protections de Google pour le télécharger sur le Store Play. Les astuces de SharkBot incluent des délais, des capacités pour détecter s’il s’exécute dans un bac à sable et conserve potentiellement la plupart de ses fonctionnalités malveillantes.
Un aspect de SharkBot que « Webmaster-Alsace » n’a encore jamais observé dans des logiciels malveillants Android.
Et, l’utilisation de l’algorithme de génération de domaine (DGA) pour continuer à changer ses domaines C2 voir un C3 dissimulé, ce qui rend plus difficile le blocage de la menace.
Il convient également de noter un dispositif de géolocalisation dans SharkBot qui garantit que le logiciel malveillant ne s’exécutera pas sur les appareils Android situés en Chine, en Russie, en Ukraine, en Inde, en Biélorussie et en Roumanie.
« DGA » est un algorithme par lequel un client malveillant et un acteur malveillant peuvent modifier le serveur C2 de concert, sans aucune communication », explique Sébastien Schaffhauser co-responsable de la recherche et de l’innovation en cybersécurité chez Webmaster-Alsace. Avec DGA, Sharkbot génère potentiellement 35 domaines par semaine, compliquant ainsi le processus de blocage des serveurs des opérateurs de logiciels malveillants,.
Le fait que toutes les actions malveillantes de SharkBot soient déclenchées à partir du serveur de commande et de contrôle signifie aussi que l’application malveillante peut rester dans une sorte d’état de « pause». Ceci pendant une période indéfinie encore à ce jour et s’activer lorsqu’elle arrive à se connecter au réseau internet via les appareils des utilisateurs.