L’application Android SharkBot vole des comptes bancaires et des cryptomonnaies

Des chercheurs en cybersécurité ont démasqué lundi une application Android qui, à partir des fonctionnalités d’accessibilité des appareils, dérobe les informations sensibles des services bancaires et des cryptomonnaies. Appelé SharkBot par Cleafy, le malware aurait touché vingt-sept cibles dont vingt-deux banques internationales anonymes en Italie et au Royaume-Uni, ainsi que cinq applications de cryptomonnaie aux États-Unis environ, depuis fin octobre 2021.

Un pirate en train de concocter une attaque informatique

Le SharkBot, qui serait à ses premiers stades de développement, procèderait à des transferts d’argent à partir des appareils compromis par la technique des Systèmes de Transfert Automatique (ATS) en truquant les mécanismes d’authentification multifacteur comme le SCA par exemple.

Il attaquerait après avoir été installé sur l’appareil de la victime. Son but serait d’obtenir des informations bancaires sensibles telles que les informations personnelles, les informations d’identification, le solde, et autres, ainsi que d’exécuter certaines commandes.

Un nouveau dangereux prédateur de la toile

Il se ferait passer pour une télévision en direct, un lecteur multimédia, ou une application de récupération de données tout comme d’autres logiciels malveillants tels que TeaBot et UBEL. Le principe est simple. Il amène la victime à lui fournir des autorisations plusieurs fois en ouvrant des fenêtres contextuelles malveillantes. C’est ainsi qu’il vole les données.

La différence entre lui et les autres applications sécurisées se trouve au niveau de l’exploitation des paramètres d’accessibilité pour mener des attaques ATS. Il fait remplir aux utilisateurs automatiquement des champs dans les applications bancaires mobiles légitimes et ensuite effectue des transferts d’argent depuis ces appareils vers un réseau de muletiers d’argent sous le contrôle de l’auteur du vol.

SharkBot a un mode opératoire qui empêche l’enregistrement d’un nouvel appareil pour pouvoir commettre des activités frauduleuses, et cela en contournant les mécanismes d’authentification à deux facteurs mis des applications bancaires. L’application possède les fonctionnalités connues chez les chevaux de trois bancaires Android. Il pourrait ainsi faire des attaques par superposition afin de voler les informations de carte de crédit et les identifiants de connexion, et avoir un contrôle à distance complet des appareils compromis.

Un malware presque impossible à détecter ?

SharkBot a la capacité d’échapper à l’analyse et à l’identification en faisant des vérifications d’émulateur, en cryptant les communications de commande et de contrôle avec un serveur à distance. Il peut aussi cacher l’icône de l’application de l’écran d’accueil après son installation.

D’ailleurs, Google Play Store n’a pas retrouvé d’échantillon de malveillance. Cela signifie qu’il est probablement installé sur les appareils à travers des programmes d’ingénierie sociale ou de chargement latéral.