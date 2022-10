Soyez très prudent si vous avez installé l’une de ces applications sur votre mobile : elles contiennent un dangereux cheval de Troie.

La semaine n’a pas particulièrement bien commencé pour les utilisateurs d’Android. Principalement, pour ceux qui résident dans des régions d’Europe, dont l’France ou l’Italie.

Les chercheurs en cybersécurité de ThreatFabric ont découvert une nouvelle menace dans le Google Play Store, sous la forme d’un cheval de Troie déguisé en applications apparemment fiables, qui a réussi à contourner les mesures de protection du magasin pour se retrouver sur les smartphones de centaines de milliers de personnes.

Le cheval de Troie en question est déjà une vieille connaissance des utilisateurs d’Android. Il s’agit de SharkBot, l’un des logiciels malveillants les plus dangereux et les plus répandus au monde, dont l’objectif principal est d’obtenir les coordonnées bancaires de ses victimes afin de finir par voler l’argent de leurs comptes.

SharkBot revient à l’attaque avec cinq nouvelles applications

Les attaquants ont mené une nouvelle campagne d’attaque visant à voler les données des utilisateurs de différents pays européens. Les chercheurs se sont concentrés sur les attaques visant les utilisateurs résidant en Italie, mais expliquent que la stratégie a été la même dans toutes les régions.

La première étape de l’attaque consiste à réussir à publier une application sur le Google Play Store sans code malveillant à l’intérieur, qui offre un certain type d’utilitaire à l’utilisateur. De Threat Fabric, ils se concentrent sur l’application « Codice Fiscale », une application censée permettre aux citoyens italiens de calculer leurs impôts annuels. Cette application comptait, au moment de sa découverte, plus de 10 000 installations via Google Play.

Une fois téléchargée sur l’appareil de la future victime, l’application vérifie si le code pays de la carte SIM du téléphone correspond à ce dont l’attaquant a besoin pour mener à bien sa stratégie. Dans ce cas, il est testé si le code SIM correspond à l’italien (it).

Si l’exigence est remplie, l’application informera l’utilisateur de l’existence d’une mise à jour d’application disponible. Cependant, au lieu de diriger vers la page de l’application sur Google Play, une page Web est chargée qui simule l’interface du Play Store, dans le but d’inviter l’utilisateur à télécharger la mise à jour supposée. C’est à ce moment que le fichier contenant le cheval de Troie est téléchargé et installé.

Le mobile de la victime étant déjà infecté, le cheval de Troie peut mener son attaque, qui consiste à obtenir des données sensibles en consultant la liste de contacts de l’utilisateur, à intercepter les SMs reçus et, plus dangereusement, à obtenir les identifiants de connexion de session aux applications bancaires, dans le but de finir par voler l’argent de leurs comptes.

Cinq applications différentes ont été découvertes qui font partie de cette menace. En plus de l’Italie, certaines des applications mentionnées visent à infecter les appareils des citoyens des États-Unis, du Royaume-Uni, de l’Allemagne, de l’Autriche, de l’Australie, de l’France et de la Pologne. La liste complète des applications est disponible ci-dessous :

Récupérer Audio, Images & Vidéos – +100000 téléchargements

Code fiscal 2022 – +10000 téléchargements

Authentification Zetter – +10000 téléchargements

Gestionnaire de fichiers Small, Lite – +1000 téléchargements

Mes Finances Tracker – +1000 téléchargements

Il est très important de s’assurer qu’aucune des applications ci-dessus n’est installée sur nos appareils. Et, en cas d’en avoir, il est recommandé de s’en débarrasser au plus vite et de changer les codes d’accès aux entités bancaires que le cheval de Troie aurait pu obtenir grâce à ses attaques. De plus, pour éviter de futures attaques, il est suggéré de télécharger uniquement des applications à partir du Google Play Store et d’éviter les sources tierces.