Un cheval de Troie caché dans un antivirus sur le Play Store
L'application Antivirus Super Cleaner hébergeait SharkBot, un dangereux malware capable de voler des informations bancaires et d'effectuer des transferts d'argent automatiquement. L'appli vérolée a été retirée du Play Store de Google.
L'histoire pourrait faire rire si elle n'était pas grave. Un cheval de Troie de nouvelle génération a été détecté dans des applications proposées sur le Play Store, la boutique d'application officielle de Google. Le comble, c'est que SharkBot, tel qu'il a été baptisé, a été repéré dans… un anti-virus, à la manière d'un pompier pyromane ou d'un médecin tueur en série ! Et ce logiciel malveillant est particulièrement dangereux car il est spécialisé dans le détournement d"opérations bancaires. Utilisant la technique de l'overlay, au moment où il détecte une application bancaire active, il affiche par superposition un écran ressemblant à la page de connexion légitime tout en lançant un enregistreur de frappe. Il est ainsi capable d'intercepter tout ce qui est tapé, ce qui lui permet de récupérer toutes les informations nécessaires (numéro de compte, identifiant, mot de passe…) et de les envoyer aux serveurs des pirates pour effectuer ensuite des détournements d'argent. Le tout à distance, et à l'insu de l'utilisateur, bien évidemment. Car il est aussi capable d'intercepter et de masquer les SMS et les notifications d'authentification et de validation. Glaçant…
Comme l'explique Android Police, SharkBot a été repéré il y a plusieurs semaines par les chercheurs en sécurité de Cleafy, qui l'ont détecté dans l'application Antivirus Super Cleaner, proposée "normalement" sur le Play Store. Et comme l'ont confirmé les experts de NCC Group qui l'ont analysé, SharkBot est particulièrement sophistiqué. Le système de transfert automatique (ATS), qui permet aux attaquants de retirer automatiquement de l'argent des comptes de leurs victimes, sans aucune intervention humaine, représenterait même une première technologique sur Android.
Fort heureusement, Antivirus Super Cleaner n'aurait été téléchargé que moins de 1000 fois avant d'être retiré du magasin d'applications de Google. On pourrait respirer en notant qu'il n'a fait que peu de victimes. Sauf que de nombreux chercheurs en sécurité comme ceux de NCC Group ont remarqué une nette augmentation des logiciels malveillants bancaires sur Android l'an dernier, à l'instar des tristement célèbres TeaBot et Xenomorph, ce qui n'augure rien de bon pour l'avenir. Surtout, il convient une nouvelle fois de s'interroger sur l'efficacité des contrôles effectués par Google sur le Play Store, qui héberge régulièrement des applications douteuses pour ne pas dire dangereuses…