De fausses applications antivirus utilisées pour propager le logiciel malveillant Sharkbot Mobile
Sharkbot, un type de logiciel malveillant bancaire, a été découvert sur le Google Play Store puis supprimé. Le logiciel malveillant se cachait dans des applications conçues pour ressembler à des solutions antivirus et de sécurité mobiles.
Un groupe de chercheurs de la société de sécurité informatique Check Point a sélectionné la campagne poussant Sharkbot sur le Google Play Store officiel. Selon l'équipe de recherche, les fausses applications antivirus ont enregistré environ 15 000 téléchargements avant d'être supprimées.
Sharkbot choisit ses victimes
L'équipe a alerté Google de la présence du malware Sharkbot dans les applications et Google a rapidement pris des mesures. Malheureusement, les applications chargées de logiciels malveillants passent suffisamment de temps sur le magasin pour accumuler un nombre important de téléchargements en premier.
Selon Check Point, au moins six applications différentes étaient en place sur le magasin et poussaient le malware bancaire Sharkbot. Ce qui était un peu plus étrange dans cette campagne, ce sont quelques fonctionnalités utilisées par les pirates. D'une part, cette version de Sharkbot utilisait le geofencing - il a été configuré pour éviter spécifiquement d'infecter les appareils dans des régions spécifiques du monde.
Appareils infectés principalement au Royaume-Uni et en Italie
En plus du géorepérage, Sharkbot a également inclus un algorithme de génération de domaine. Cela signifie effectivement que le logiciel malveillant a pu générer de grands volumes de noms de domaine, qui sont ensuite utilisés pour les serveurs de commande et de contrôle de Sharkbot.
La plupart des appareils sur lesquels Sharkbot a atterri via les fausses applications antivirus étaient situés dans des pays européens, en particulier en Italie et au Royaume-Uni. Les appareils ont été identifiés grâce à leurs adresses IP par l'équipe de recherche.
Les accidents avec des malwares se glissant discrètement sur le Google Play Store malgré les efforts pour en faire un espace totalement sûr sont toujours désagréables. Ce n'est pas non plus le premier cas de ce genre cette année. Auparavant, les applications chargées de logiciels malveillants restaient sur le Play Store pendant environ un mois avant que Google ne soit alerté et ne les supprime.