SharkBot et Vultur : des malwares qui vident les comptes bancaires

SharkBot et Vultur sont de retour sur le Play Store ! Cachés dans des applications vérolées, ces dangereux malwares enregistrent l'écran et les informations saisies pour récupérer des données bancaires et vider les comptes.

Pour s'emparer de l'argent de leurs victimes, les pirates redoublent d'ingéniosité ! Et, malgré les efforts répétés de Android – est un excellent moyen d'y parvenir. Il ne se e pas une semaine sans que de nouvelles applications vérolées ne soient découvertes – ce qui finit d'ailleurs par nuire à l'image du service du géant d'Internet. Cette semaine encore, les chercheurs du spécialiste en cybersécurité ThreatFabric ont découvert la présence de deux logiciels malveillants bien connus, SharkBot et Vultur, qui subtilisent les coordonnées bancaires des victimes afin de vider leurs comptes. Pour ce faire, les malwares ont infiltré cinq applications, qui cumulent un total de 130 000 téléchargements. Une fois installés grâce à une technique particulièrement vicieuse, ils enregistrent les saisies au clavier et transmettent le contenu de l'écran en temps réel. Cette nouvelle campagne vise les applications bancaires de 231 institutions financières situées en , en Italie, au Royaume-Uni, en Allemagne, en Espagne, en Pologne, en Autriche, aux États-Unis, en Australie ou encore aux Pays-Bas.

SharkBot et Vultur : des malwares qui visent les banques françaises

Les deux malwares, qui ont le même mode opératoire, parviennent à contourner les défenses du APK – pour Android Package Kit, soit l'ensemble des fichiers permettant d'installer une application – mais la victime n'y prend pas garde puisqu'elle se croit en sécurité sur le Play Store ! Une fois sur l'appareil, les malwares déploient diverses stratégies pour parvenir à s'emparer des données personnelles, et surtout bancaires : ils vont enregistrer les mots tapés sur le clavier virtuel, afficher une fenêtre superposée, collecter le répertoire téléphonique ou encore intercepter tous les SMS reçus – ce qui lui permet de s'emparer des codes nécessaires pour la double identification.

SharkBot et Vulture ciblent plus de 231 applications dans le monde – dont en –, et plus particulièrement celles des banques et des services financiers. C'est le cas de services en ligne populaires comme N26, Orange Bank, Hello Ban, Crédit Agricole, LCL, HSBC , Ma French Bank et la Société Générale. Les deux malwares vont encore plus loin en volant également les cryptomonnaies en s'attaquant aux applications destinées aux crypto-actifs, comme des plateformes d'échange – Binance, Crypto.com, Bitfinex, Bitpanda, Bittrex, Bybit, Coinbase, eToro, Gemini, Kraken, etc. – et des wallets numériques – comme MetaMask et BlueWallet par exemple.

SharkBot et Vultur : cinq applications compromises sur le Play Store

Comme c'est souvent le cas, SharkBot et Vultur s'installent via des applications du quotidien, comme un gestionnaire de fichiers, un suivi de budget, un générateur de codes pour l'authentification à deux facteurs ou encore un récupérateur de fichiers PDF supprimés. Voici les applications vérolées par les deux malwares :

• Recover Audio, Images & Videos (100 000 téléchargements)
• Codice Fiscale 2022 (10 000 téléchargements)
• Zetter Authenticator (10 000 téléchargements)
• My Finances Tracker (1 000 téléchargements)
• File Manager Small, Lite (1 000 téléchargements)

Alerté par ThreatFabric, Google les a depuis supprimées du Play Store. Toutefois, si l'une d'entre elles est déjà présente sur un appareil mobile, il faut immédiatement la désinstaller et procéder à un nettoyage du smartphone ou de la tablette, grâce à un antivirus ou en le réinitialisant. Mieux vaut aussi changer tous ses mots de e et surveiller avec attention les transactions sur ses comptes bancaires pendant un petit moment.

En tout cas, il faut absolument retenir que ce n'est pas parce qu'une application provient du Google Play Store qu'elle ne présente aucun risque. Certains signes peuvent éveiller la vigilance, comme lorsque le compte d'un développeur ne comporte qu'une seule appli, que les règles de confidentialité sont très courtes ou encore qu'il y a des autorisations inutiles par exemple. Dans le doute, mieux vaut n'installer que les applications dont on a vraiment besoin, supprimer celles qui ne sont plus utilisées et avoir un antivirus en arrière-plan pour vérifier une seconde fois que des comportements malveillants ne sont pas à l'œuvre en secret.