• Home
  • Conseils
  • Deux apps antivirus infectées par un virus à désinstaller immédiatement
Deux apps antivirus infectées par un virus à désinstaller immédiatement

Le logiciel malveillant SharkBot est de retour dans le Google Play Store.

“Nous avons trouvé deux applications SharkbotDopper actives dans le Google Play Store, avec 10.000 et 50.000 installations chacune”, annonce Fox-IT dans un billet de blog. Les deux applications malveillantes sont “Mister Phone Cleaner” et “Kylhavy Mobile Security” et cumulent donc toutes les deux plus de 60.000 installations. Aucune n’a présenté de code suspect lors de l’examen automatique effectué par Google.

Deux apps à supprimer d’urgence
Fox-IT a détecté une nouvelle version de SharkBot dans le Google Play, après avoir découvert la première en février dernier. Pour une petite piqure de rappel, c’est par ici. Cette application se fait passer pour un faux antivirus et nettoyeur Android. Dans sa version précédente, elle s’appuyait sur les autorisations d’accessibilité pour effectuer automatiquement l’installation du logiciel malveillant Sharkbot. La nouvelle utilise un autre procédé.

Avant toute chose, il est important de noter que, même si les applications “Mister Phone Cleaner” et “Kylhavy Mobile Security” n’apparaissent plus dans le Play Store aujourd’hui, les utilisateurs d’Android qui les ont installées auparavant sont toujours en danger et doivent les supprimer de leur téléphone.

Une attaque plus difficile, mais plus discrète
Au lieu d’utiliser les droits d’accessibilité pour infecter le téléphone, la nouvelle version demande à la victime d’installer le malware comme une fausse mise à jour pour l’antivirus. Une “mise à jour” nécessaire afin de rester protégé contre les menaces. Concrètement, elle vise les informations d’identification bancaires des utilisateurs d’Android et dispose d’une nouvelle fonction conçue pour voler les cookies. Ces derniers sont utiles pour prendre le contrôle des comptes.

Pour mener à bien son attaque, cette seconde version reçoit les fichiers APK du serveur de commande et de contrôle (C2). Pour définition, un fichier APK est un petit dossier numérique comprenant tous les fichiers nécessaires à l’installation d’une application sur Android. Ainsi, même si la méthode rend plus difficile l’installation du malware, puisqu’elle dépend de l’interaction de l’utilisateur, elle a l’avantage d’être plus difficile à détecter avant d’être publiée dans le Google Play Store. Et ce, car elle ne nécessite pas de permissions d’accessibilité.