SharkBot et Vultur : des malwares qui vident les comptes bancaires

SharkBot et Vultur : des malwares qui vident les comptes bancaires

SharkBot et Vultur sont de retour sur le Play Store ! Cachés dans des applications vérolées, ces dangereux malwares enregistrent l'écran et les informations saisies pour récupérer des données bancaires et vider les comptes.

Pour s'emparer de l'argent de leurs victimes, les pirates redoublent d'ingéniosité ! Et, malgré les efforts répétés de Google pour renforcer son système de sécurité, le Play Store – la boutique officielle pour télécharger des applications sur Android – est un excellent moyen d'y parvenir. Il ne se passe pas une semaine sans que de nouvelles applications vérolées ne soient découvertes – ce qui finit d'ailleurs par nuire à l'image du service du géant d'Internet. Cette semaine encore, les chercheurs du spécialiste en cybersécurité ThreatFabric ont découvert la présence de deux logiciels malveillants bien connus, SharkBot et Vultur, qui subtilisent les coordonnées bancaires des victimes afin de vider leurs comptes. Pour ce faire, les malwares ont infiltré cinq applications, qui cumulent un total de 130 000 téléchargements. Une fois installés grâce à une technique particulièrement vicieuse, ils enregistrent les saisies au clavier et transmettent le contenu de l'écran en temps réel. Cette nouvelle campagne vise les applications bancaires de 231 institutions financières situées en France, en Italie, au Royaume-Uni, en Allemagne, en Espagne, en Pologne, en Autriche, aux États-Unis, en Australie ou encore aux Pays-Bas.

SharkBot et Vultur : des malwares qui visent les banques françaises

Les deux malwares, qui ont le même mode opératoire, parviennent à contourner les défenses du Google Play Store car ils sont ce qu'on appelle des chevaux de Troie. Les applications vérolées sur la boutique officielle d'Android ne contiennent pas en elles-mêmes les malwares, elles servent à installer par la suite ShakBot ou Vultur. C'est ce qu'on appelle des droppers. Elles sont fonctionnelles et en apparence inoffensives mais, lorsque la victime va dessus,  elles lui demandent une mise à jour via le Play Store. Sauf que l'utilisateur atterrit sur une fausse page qui lui ressemble comme deux gouttes d'eau et qui s'ouvre via le navigateur web – les applications n'ont donc pas besoin de demander d'autorisations particulières. Au moment de télécharger la supposée mise à jour, le navigateur affiche une alerte sur l'installation d'un ficher APK – pour Android Package Kit, soit l'ensemble des fichiers permettant d'installer une application – mais la victime n'y prend pas garde puisqu'elle se croit en sécurité sur le Play Store ! Une fois sur l'appareil, les malwares déploient diverses stratégies pour parvenir à s'emparer des données personnelles, et surtout bancaires : ils vont enregistrer les mots tapés sur le clavier virtuel, afficher une fenêtre superposée, collecter le répertoire téléphonique ou encore intercepter tous les SMS reçus – ce qui lui permet de s'emparer des codes nécessaires pour la double identification.

SharkBot et Vulture ciblent plus de 231 applications dans le monde – dont en France –, et plus particulièrement celles des banques et des services financiers. C'est le cas de services en ligne populaires comme N26, PayPal, Aion Bank, Bunq, ou encore Revolut, mais aussi des banques françaises ING France, Crédit Mutuel de Bretagne, BNP Paribas, Boursorama, CIC, Crédit Mutuel, Orange Bank, Hello Ban, Crédit Agricole, LCL, HSBC France, Ma French Bank et la Société Générale. Les deux malwares vont encore plus loin en volant également les cryptomonnaies en s'attaquant aux applications destinées aux crypto-actifs, comme des plateformes d'échange – Binance, Crypto.com, Bitfinex, Bitpanda, Bittrex, Bybit, Coinbase, eToro, Gemini, Kraken, etc. – et des wallets numériques – comme MetaMask et BlueWallet par exemple.

SharkBot et Vultur : cinq applications compromises sur le Play Store

Comme c'est souvent le cas, SharkBot et Vultur s'installent via des applications du quotidien, comme un gestionnaire de fichiers, un suivi de budget, un générateur de codes pour l'authentification à deux facteurs ou encore un récupérateur de fichiers PDF supprimés. Voici les applications vérolées par les deux malwares :

  • Recover Audio, Images & Videos (100 000 téléchargements)
  • Codice Fiscale 2022 (10 000 téléchargements)
  • Zetter Authenticator (10 000 téléchargements)
  • My Finances Tracker (1 000 téléchargements)
  • File Manager Small, Lite (1 000 téléchargements)

Alerté par ThreatFabric, Google les a depuis supprimées du Play Store. Toutefois, si l'une d'entre elles est déjà présente sur un appareil mobile, il faut immédiatement la désinstaller et procéder à un nettoyage du smartphone ou de la tablette, grâce à un antivirus ou en le réinitialisant. Mieux vaut aussi changer tous ses mots de passe et surveiller avec attention les transactions sur ses comptes bancaires pendant un petit moment.

En tout cas, il faut absolument retenir que ce n'est pas parce qu'une application provient du Google Play Store qu'elle ne présente aucun risque. Certains signes peuvent éveiller la vigilance, comme lorsque le compte d'un développeur ne comporte qu'une seule appli, que les règles de confidentialité sont très courtes ou encore qu'il y a des autorisations inutiles par exemple. Dans le doute, mieux vaut n'installer que les applications dont on a vraiment besoin, supprimer celles qui ne sont plus utilisées et avoir un antivirus en arrière-plan pour vérifier une seconde fois que des comportements malveillants ne sont pas à l'œuvre en secret.