Une version mise à jour d’une application bancaire et cryptographique ciblée par les logiciels malveillants est récemment réapparue sur le Google Play Store, avec désormais la possibilité de voler les cookies des connexions de compte et de contourner les exigences d’empreintes digitales ou d’authentification.

L’analyste des logiciels malveillants Alberto Segura et l’analyste du renseignement Mike Stokkel ont partagé un avertissement concernant la nouvelle version du logiciel malveillant sur les comptes Twitter le 2 septembre, partageant leur article co-écrit sur le blog Fox IT.

Selon Segura, la nouvelle version du logiciel malveillant a été découverte le 22 août et peut « effectuer des attaques par superposition, voler des données via l’enregistrement de frappe, intercepter des messages SMS ou donner aux pirates un contrôle à distance complet de l’appareil hôte en abusant des services d’accessibilité. ”

La nouvelle version du logiciel malveillant a été trouvée dans deux applications Android : « Mister Phone Cleaner » et « Kylhavy Mobile Security », qui ont depuis enregistré respectivement 50 000 et 10 000 téléchargements.

Les deux applications ont d’abord pu arriver sur le Play Store car l’examen automatisé du code de Google n’a détecté aucun code malveillant, bien qu’il ait depuis été supprimé du magasin.

Certains observateurs suggèrent que les utilisateurs qui ont installé les applications peuvent toujours être à risque et doivent supprimer les applications manuellement.

READ  EXPLANATEUR: Les sociétés de l'armée birmane sanctionnées couvrent le spectre France Experts Thaïlande Japon Asie

Une analyse approfondie de la société de sécurité italienne Cleafy a révélé que SharkBot avait identifié 22 cibles, dont cinq bourses de crypto-monnaie et plusieurs banques internationales aux États-Unis, au Royaume-Uni et en Italie.

En ce qui concerne le mode d’attaque du logiciel malveillant, la version précédente du logiciel malveillant SharkBot « s’appuyait sur les autorisations d’accessibilité pour installer automatiquement le compte-gouttes du logiciel malveillant SharkBot ».

Mais cette nouvelle version est différente car « elle demande à la victime d’installer le malware comme une fausse mise à jour afin que l’antivirus reste protégé contre les menaces ».

Une fois installé, si une victime se connecte à sa banque ou à son compte crypto, SharkBot peut récupérer son cookie de session valide via la commande « logsCookie », qui contourne essentiellement toute méthode d’identification ou d’authentification utilisée.

La première version du malware SharkBot a été la première découvert par Cleafy en octobre 2021.

Lié: L’application Google Translate fausse et sournoise installe un cryptomineur sur 112 000 PC

Selon la première analyse Cleafy de SharkBot, l’objectif principal de SharkBot était « d’initier des transferts d’argent à partir des appareils compromis via la technique des systèmes de transfert automatique (ATS) en contournant les mécanismes d’authentification multifacteur ».