L’acteur de la menace derrière un cheval de Troie bancaire Android naissant nommé SharkBot a réussi à échapper aux barrières de sécurité de Google Play Store en se faisant passer pour une application antivirus.

SharkBot, comme ses homologues malveillants TeaBot, FluBot et Oscorp (UBEL), appartient à une catégorie de chevaux de Troie financiers capables de siphonner les informations d’identification pour initier des transferts d’argent à partir d’appareils compromis en contournant les mécanismes d’authentification multi-facteurs. Il est apparu pour la première fois sur la scène en novembre 2021.

Là où SharkBot se distingue, c’est dans sa capacité à effectuer les transactions non autorisées via les systèmes de transfert automatique (ATS), ce qui contraste avec TeaBot, qui nécessite qu’un opérateur en direct interagisse avec les appareils infectés pour mener les activités malveillantes.

« Les fonctionnalités ATS permettent au malware de recevoir une liste d’événements à simuler, et ils seront simulés afin d’effectuer les transferts d’argent », ont déclaré Alberto Segura et Rolf Govers, analystes de logiciels malveillants au sein de la société de cybersécurité NCC Group. mentionné dans un rapport publié la semaine dernière.

« Étant donné que ces fonctionnalités peuvent être utilisées pour simuler des touches/clics et des pressions sur des boutons, elles peuvent être utilisées non seulement pour transférer automatiquement de l’argent, mais également pour installer d’autres applications ou composants malveillants. »

En d’autres termes, l’ATS est utilisé pour tromper les systèmes de détection de fraude de la banque ciblée en simulant la même séquence d’actions qui seraient effectuées par l’utilisateur, telles que les pressions sur les boutons, les clics et les gestes, afin d’effectuer le transfert d’argent illicite.

La dernière version repérée sur le Google Play Store le 28 février est un certain nombre d’applications dropper qui exploitent également la fonctionnalité de réponse directe d’Android pour se propager à d’autres appareils, ce qui en fait le deuxième cheval de Troie bancaire après FluBot à intercepter les notifications d’attaques par ver.

La liste des applications malveillantes, qui ont toutes été mises à jour le 10 février, ont été installées collectivement environ 57 000 fois à ce jour –

SharkBot est également riche en fonctionnalités en ce sens qu’il permet à l’adversaire d’injecter des superpositions frauduleuses sur les applications bancaires officielles pour voler les informations d’identification, enregistrer les frappes au clavier et obtenir un contrôle à distance complet sur les appareils, mais seulement après que les victimes lui aient accordé les autorisations des services d’accessibilité.

Les résultats surviennent une semaine après que des chercheurs de Cleafy ont divulgué les détails d’une nouvelle variante de TeaBot trouvée dans le Play Store, conçue pour cibler les utilisateurs de plus de 400 applications bancaires et financières, y compris celles de Russie, de Chine et des États-Unis.