De nouvelles applications ont été détectées sur le Play Store qui installent les malwares Sharkbot et Vultur. Connus pour être des malwares sophistiqués, ils enregistrent l’écran et les saisies au clavier lorsque vous ouvrez votre application bancaire.
Les deux malwares Android Sharkbot et Vultur sont de retour dans le Play Store de Google. Le spécialiste de la cybersécurité ThreatFabric a découvert cinq applications dans le magasin d’Android qui servent de cheval de Troie pour installer ces deux malwares. Elles cumulent un total de 130 000 téléchargements. Sharkbot et Vultur sont bien connus : ils sont capables d’enregistrer les saisies au clavier et de transmettre le contenu de l’écran en temps réel. Ici, ils visent spécifiquement les applications bancaires de plusieurs pays. Les applications sur le Play Store ne contiennent pas le malware directement, ce sont des « droppers » qui servent à télécharger un des deux malwares après installation. Elles parviennent ainsi à déjouer la sécurité de Google.
Un malware installé via une fausse mise à jour
Dans les deux cas, le fonctionnement est le même : une fois installé, le dropper ouvre une page Web conçue pour ressembler à la page dans le Play Store demandant une mise à jour de l’application. Toutefois, appuyer sur le bouton de mise à jour débute le téléchargement du malware. Ainsi, l’application n’a pas besoin de demander d’autorisations particulières, l’installation se fait par le navigateur. Celui-ci affiche bien des alertes sur l’installation d’un fichier APK, mais l’utilisateur se croit en sécurité sur le Play Store et est donc plus enclin à continuer.
Sharkbot est installé par deux applications nommées « Codice Fiscale 2022 » et « File Manager Small, Lite » ; elles visent spécifiquement les applications bancaires italiennes. Le malware ne s’active que si la carte SIM dans le mobile est italienne. Vultur cible des applications bancaires britanniques et néerlandaises, mais aussi françaises, allemandes et italiennes. Cette fois, il est installé par les applications Recover Audio, Images & Videos, Zetter Authentication et My Finances Tracker. Si vous avez installé une de ces applications, il faudra la désinstaller et aussi procéder à une désinfection de votre appareil pour éliminer le malware téléchargé, grâce à un antivirus ou en le réinitialisant.