Les chevaux de Troie SharkBot et Vultur ne sont pas une nouveauté dans le paysage d’Android : cela fait plus d’un an qu’ils sont utilisés pour véroler des applications qui sont ensuite diffusées, en toute légalité, au sein du Google Play Store. Malgré les efforts de Google pour chasser les malwares de son catalogue d’applications, il reste difficile pour l’entreprise de cibler toutes les menaces, puisque des millions de logiciels peuvent y être téléchargés.

C’est d’autant plus le cas pour SharkBot et Vultur qui sont des trojans de type « dropper ». Cela signifie qu’ils sont conçus pour installer, en toute discrétion, des malwares sur l’appareil infecté, tout en étant camouflés au sein d’une application qui semble tout à fait légitime. Les utilisateurs se font facilement piéger, car rien ne laisse penser que leur téléchargement va les mener tout droit dans un piège et lorsqu’ils s’en rendent compte, il est déjà trop tard.

Des logiciels malveillants de plus en plus vicieux sous Android

Lorsque Google a décidé de sévir en désactivant la fonction AccessibilityService, très utilisée auparavant pour déployer des logiciels malveillants, les hackers ont dû ruser. « Les droppers sur Google Play sont passés de l’utilisation d’AccessibilityService pour autoriser automatiquement l’installation à partir de sources inconnues à l’utilisation de sources légitimes pour les contrôler et stocker des charges utiles malveillantes », explique notamment le site Threat Fabric.

Contrairement à une époque où les applications vérolées circulaient surtout sous la forme d’une APK téléchargée en dehors du Play Store, il est aujourd’hui plus « facile » de se faire avoir sur une plateforme que l’on considère comme sûre. Mis en confiance, l’utilisateur ne se doute pas qu’une invitation à télécharger une mise à jour via une page Web extérieure ouverte par l’application va entraîner l’installation d’un logiciel malveillant. C’est pourtant le cas.

C’est ainsi que différentes applications, repérées par cet éditeur en sécurité, ont cumulé tranquillement 130 000 téléchargements ces derniers mois, alors qu’elles sont infectées par l’un de ces malwares :

• Codice Fiscale 2022 (+ de 10 000 téléchargements)
• File Manager Small, Lite (Nombre de téléchargements inconnu)
• My Finances Tracker (+ de 10 000 téléchargements)
• Recover Audio, Images & Videos (+ de 100 000 téléchargements)
• Zetter Authenticator (+ de 10 000 téléchargements)

Aujourd’hui, la totalité de ces applications n’est plus disponible au téléchargement, mais certaines l’étaient encore le week-end dernier. Google Play Store n’arrive pas toujours à être aussi réactif qu’il le faudrait pour faire le ménage sur sa plateforme, même si des éditeurs en sécurité traquent les applications douteuses et en informent l’entreprise aussi tôt que possible.

Que risque-t-on avec ces logiciels malveillants qui sévissent sur Android ?

À eux deux, Sharkbot et Vultur sont en mesure de cibler 231 applications liées à des banques ou à des portefeuilles de cryptomonnaies dans des pays comme l’Italie, le Royaume-Uni, l’Allemagne, l’Espagne, la Pologne, l’Autriche, les États-Unis, la France, l’Australie ou encore les Pays-Bas.

Parmi les fonctionnalités vicieuses de ces malwares, ont peut notamment citer leur capacité à streamer l’écran du smartphone, à enregistrer les frappes, à accéder aux fonctions de login des applications bancaires, à récupérer le carnet d’adresses de l’utilisateur pour spammer, à intercepter des SMS… En bref, il s’agit d’un véritable cocktail d’actions illégales qui ont pour objectif de vous voler vos données bancaires ou l’accès à votre portefeuille de cryptomonnaies.

Pour se prémunir face à ces nombreux risques, il faut surtout redoubler de vigilance et éviter tout téléchargement en dehors du Play Store, y compris quand c’est une application qui semble de confiance qui vous le demande. Malheureusement, il faut bien l’admettre, les hackers sont inventifs lorsqu’il s’agit de piéger les utilisateurs, y compris les plus avertis.