En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

ALERTE Check Point Research

Publication: 9 avril

Partagez sur
 
Les experts de Check Point Research (CPR) ont découvert que des applications antivirus disponibles sur Google Play Store propagent des malwares bancaires...
 

Check Point Research (CPR) a découvert que six applications disponibles sur Google Play Store diffusaient des malwares bancaires en se faisant passer pour des solutions antivirus. Connu sous le nom de Sharkbot, le logiciel malveillant vole des identifiants et des informations bancaires. Au cours de son enquête, CPR a compté plus de 1 000 adresses IP uniques d’appareils infectés, principalement au Royaume-Uni et en Italie. Les statistiques du Google Play Store ont toutefois révélé que les applications malveillantes avaient été téléchargées plus de 11 000 fois. Sharkbot attire ses victimes par le biais de notifications push et incite les utilisateurs à saisir des identifiants dans des pages qui imitent des formulaires de saisie. CPR soupçonne les acteurs de la menace de parler russe et avertit les utilisateurs d’Android du monde entier de réfléchir à deux fois avant de télécharger des solutions antivirus depuis le Play Store.

- 62% des victimes se trouvaient en Italie ; 36% au Royaume-Uni, 2% dans d’autres pays.

- Les acteurs de la menace ont mis en œuvre la fonctionnalité de geo-fencing, qui ne tient pas compte des utilisateurs en Chine, en Inde, en Roumanie, en Russie, en Ukraine et au Belarus.

- CPR a divulgué de manière responsable les résultats à Google, qui a supprimé les applications malveillantes.

Check Point Research (CPR) a découvert six applications qui diffusent des malwares bancaires sur le Play Store de Google sous couvert de solutions antivirus. Le logiciel malveillant, connu sous le nom de "Sharkbot", vole les identifiants et les informations bancaires des utilisateurs d’Android. Sharkbot incite ses victimes à saisir leurs identifiants sur des pages qui imitent les formulaires de saisie d’identifiants. Lorsque l’utilisateur saisit ses informations d’identification dans ces champs, les données compromises sont envoyées à un serveur malveillant. CPR s’est rendu compte que les auteurs du logiciel malveillant ont mis en place une fonctionnalité de geo-fencing, qui ignore les utilisateurs d’appareils en Chine, en Inde, en Roumanie, en Russie, en Ukraine ou au Belarus.

Les six applications malveillantes

Quatre des demandes provenaient de trois comptes de développeurs, Zbynek Adamcik, Adelmio Pagnotto et Bingo Like Inc. Lorsque CPR a vérifié l’historique de ces comptes, il a vu que deux d’entre eux étaient actifs à l’automne 2021. Certaines des applications liées à ces comptes ont été supprimées de Google Play, mais existent toujours sur des marchés non officiels. Cela pourrait indiquer que l’acteur qui se cache derrière les applications tente de rester sous le radar tout en restant impliqué dans une activité malveillante.

Les victimes

CPR a pu recueillir des statistiques pendant une semaine. Sur cette période, CPR a compté plus de 1 000 IP de victimes. Le nombre de victimes a augmenté chaque jour d’environ 100. Selon les statistiques de Google Play, les six applications malveillantes repérées par CPR ont été téléchargées plus de 11 000 fois. La plupart des victimes se trouvent au Royaume-Uni et en Italie.

Méthode d’attaque

1. Inciter l’utilisateur à autoriser le service d’accessibilité à l’application.

2. Ensuite, le logiciel malveillant prend le contrôle d’une grande partie de l’appareil de la victime

3. Les acteurs de la menace peuvent également envoyer des notifications push aux victimes contenant des liens malveillants

Attribution

CPR n’a pas assez de preuves pour établir quelque imputation que ce soit. Nous pouvons supposer que les auteurs du malware parlent russe. Par ailleurs, le malware n’exécutera pas sa fonctionnalité malveillante si les paramètres locaux de l’appareil se trouvent en Chine, en Inde, en Roumanie, en Russie, en Ukraine ou en Biélorussie.

Une transparence active

CPR a signalé ces découvertes à Google immédiatement après avoir identifié les applications qui propageaient Sharkbot, Après avoir analysé les applications, Google a procédé à leur suppression définitive du Google Play store. Le jour même où CPR a fait part de ses découvertes à Google, le groupe NCC a publié une recherche distincte sur Sharkbot, mentionnant l’une des applications malveillantes.

Citation : Alexander Chailytko, responsable de la cybersécurité, de la recherche et de l’innovation chez Check Point Software : « Nous avons découvert six applications sur le Play Store de Google qui diffusaient le malware Sharkbot. Ce logiciel malveillant vole des identifiants et des informations bancaires. C’est évidemment très dangereux. En regardant le nombre d’installations, nous pouvons supposer que l’acteur de la menace a atteint son but avec sa méthode de diffusion du malware. L’acteur de la menace a stratégiquement choisi un emplacement des applications sur Google Play auxquelles les utilisateurs font confiance. Il convient également de noter que les acteurs de la menace envoient aux victimes des messages contenant des liens malveillants, lesquels sont largement utilisés. Dans l’ensemble, l’utilisation de messages push par les acteurs de la menace exigeant une réponse des utilisateurs est une technique de propagation inhabituelle. Je pense qu’il est important que tous les utilisateurs d’Android sachent qu’ils doivent réfléchir à deux fois avant de télécharger une solution antivirus depuis le Play Store. Ca pourrait être Sharkbot. »

Conseils de sécurité pour les utilisateurs d’Android :

- N’installez que des applications issues d’éditeurs fiables et vérifiés.

- Si vous voyez une application d’un nouvel éditeur, recherchez les équivalents d’un éditeur de confiance.

- Signalez à Google toute application qui vous semble suspecte.

https://research.checkpoint.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: