C’est ce que l’équipe de CPR a constaté en analysant des applications suspectes trouvées sur Google Play store. Ces applications étaient déguisées en véritables solutions AV, mais les utilisateurs ont en réalité téléchargé et installé un stealer pour Android appelé « Sharkbot ».

Sharkbot vole les identifiants et les informations bancaires. Ce malware met en œuvre une fonction de géofencing et des techniques d’évasion, ce qui le distingue du reste des autres malwares. Il utilise également ce que l’on appelle un algorithme de génération de domaine (DGA), un procédé rarement utilisé dans le monde des logiciels malveillants Android.

CPR a identifié environ 1000 adresses IP d’appareils infectés pendant la durée de l’analyse.

La plupart des victimes étaient originaires d’Italie et du Royaume-Uni.

Sharkbot incite les victimes à saisir leurs identifiants sur des pages qui imitent des formulaires. Lorsque l’utilisateur y saisit ses informations, les données compromises sont envoyées à un serveur malveillant. Sharkbot ne cible pas toutes les victimes potentielles qu’il rencontre, mais seulement certaines d’entre elles, et exploite la fonction de géofencing pour identifier et ignorer les utilisateurs de Chine, d’Inde, de Roumanie, de Russie, d’Ukraine ou de Biélorussie.

Déguisé en applis anti-virus sur Google Play store

Les chercheurs de CPR ont repéré six applications différentes sur le Google Play store qui diffusaient Sharkbot.
Quatre applications provenaient de trois comptes des développeurs Zbynek Adamcik, Adelmio Pagnotto et Bingo Like Inc. Lorsque CPR a vérifié l’historique de ces comptes, il a été constaté que deux d’entre eux étaient actifs à l’automne 2021. Certaines des applications liées à ces comptes ont été retirées de Google Play mais existent toujours sur des marchés non officiels. Cela pourrait signifier que l’acteur de la menace qui se trouve derrière ces applications essaie de rester sous le radar, tout en continuant à mener des activités malveillantes. Au total, ces applications ont été téléchargées à plus de 15 000 reprises depuis Google Play.

Divulgation responsable à Google

CPR a signalé ces découvertes à Google immédiatement après avoir identifié ces applications qui propagent Sharkbot. Rapidement après avoir examiné les applications, Google a procédé à leur retrait définitif de Google Play store.
Le jour même où CPR a signalé cette découverte à Google, le groupe NCC a publié une autre étude sur Sharkbot, mentionnant l’une des applications malveillantes.

Chronologie
• 25 février 2022 - CPR a découvert 4 applications de SharkBot Dropper sur Google Play, avec un total de 11K installations.
• 3 mars 2022 - CPR a informé Google des applications malveillantes trouvées sur Google Play.
• 3 mars 2022 - NCC Group a publié ses recherches sur Sharkbot Dropper.
• 9 mars 2022 - Les applications signalées ont été retirées de Google Play.
• 15 mars 2022 - CPR a trouvé un autre dropper SharkBot zero-install sur Google Play CPR en a informé Google.
• 22 mars 2022 - un autre dropper SharkBot zero-install a été découvert sur Google Play. CPR en a informé Google.
• 27 mars 2022 - un dropper SharkBot nouvellement découvert est supprimé de Google Play.

Attention aux applications malveillantes

Les acteurs de la menace évoluent et recherchent constamment des moyens d’injecter et de déposer des logiciels malveillants par tous les moyens possibles, et notamment en se déguisant en applications légitimes « officielles ».

Nous conseillons aux utilisateurs d’Android de :
• N’installer que des applications provenant d’éditeurs de confiance et vérifiés
• Si une application provient d’un nouvel éditeur, rechercher des équivalents auprès d’éditeurs de confiance.
• Informer Google de toute application apparemment suspecte.

Protections

Harmony Mobile de Check Point empêche les malwares d’infiltrer les appareils mobiles en détectant et en bloquant le téléchargement d’applications malveillantes en temps réel. L’infrastructure de sécurité réseau unique d’Harmony Mobile - la protection réseau sur appareil - vous permet de garder une longueur d’avance sur les menaces émergentes en appliquant les technologies de sécurité réseau de pointe de Check Point aux appareils mobiles.

Protections contre les risques d’émulation :
Sharkbot.TC.*