Sharkbot Android Malware se cache dans de fausses applications antivirus sur Google Play

Les chercheurs en sécurité ont découvert un autre lot d'applications sur le Google Play Store officiel qui se faisaient passer pour un antivirus mais qui contenaient des logiciels malveillants. Les applications étaient associées au malware bancaire Sharkbot affectant les appareils Android.

Une équipe de recherche de Check Point a découvert que les fausses applications antivirus avaient été téléchargées environ 15 000 fois avant d'être supprimées. Google n'a supprimé les applications chargées de logiciels malveillants qu'après que Check Point a envoyé une alerte à l'entreprise.

Sharkbot utilise des techniques inhabituelles

Les applications malveillantes étaient "au moins six" et ont été conçues pour ressembler à des outils légitimes de sécurité mobile et d'antivirus, mais la réalité était tout le contraire. Les applications contenaient le voleur Sharkbot - une souche de logiciels malveillants Android, développée pour voler des informations bancaires et des informations d'identification.

Selon Check Point, Sharkbot possède deux fonctionnalités qui en font une référence parmi les logiciels malveillants Android. Le premier d'entre eux est l'utilisation par le logiciel malveillant d'un algorithme de génération de domaine. Cela fait référence à la capacité du logiciel malveillant à générer occasionnellement un certain nombre de noms de domaine différents, qu'il utilise ensuite pour acheminer les communications vers ses serveurs de commande et de contrôle.

La deuxième fonctionnalité qui n'est généralement pas vue dans les logiciels malveillants Android est le géorepérage utilisé par Sharkbot. Lorsqu'il est utilisé en relation avec les logiciels malveillants, le géorepérage est le terme utilisé pour désigner la capacité du logiciel malveillant à n'attaquer que certaines régions et certains groupes démographiques, en évitant les autres, comme s'il les "clôturait" virtuellement. Ceci est courant avec les logiciels malveillants qui ne tentent pas d'attaquer les victimes dans leur zone d'origine ou dans les régions où les mesures de sécurité sont renforcées.

Infections principalement en Europe occidentale

La majorité des appareils et adresses IP identifiés comme infectés par les chercheurs se trouvaient en Europe occidentale, principalement au Royaume-Uni et en Italie, avec seulement 2 % des infections restantes dans d'autres territoires.

Check Point a conclu son rapport sur le logiciel malveillant Android avec le conseil que nous répétons également à chaque fois : n'installez que des applications provenant d'"éditeurs de confiance et vérifiés". Cependant, c'est la deuxième fois que des logiciels malveillants Android se cachent sur le Google Play Store officiel font la une des journaux en quelques semaines seulement, donc ce conseil, bien que fondamentalement judicieux, ne suffira pas à protéger chaque utilisateur de toutes les menaces.