Un nouveau lot de malveillants Android applications se faisant passer pour des gestionnaires de fichiers ont réussi pour infiltrer l'App Store du Play Store, infectant de nombreux utilisateurs avec le cheval de Troie bancaire Sharkbot.
Pour éviter d'être détectés et ainsi pouvoir apparaître dans l'App Store d'Android, ils ne portent pas de payload malveillant au moment de l'installation, mais le récupèrent plus tard à l'aide d'une ressource distante. Bien qu'à l'heure actuelle, ils aient déjà été découverts et ne sont pas dans l'App Store, vous en avez peut-être installé un sur votre mobile, il est donc important de vérifier que vous ne l'avez pas. De plus, ils sont toujours dans des magasins tiers.
Sharkbot est de retour à l'attaque
Requinbot is malware dangereux qui tente de voler des comptes bancaires en ligne en affichant de faux formulaires de connexion. Si vous essayez de vous connecter à votre banque en utilisant l'un de ces formulaires, ils volent vos coordonnées bancaires et les utilisent pour obtenir votre argent ou ce qu'ils veulent.
Étant donné que les applications malveillantes se font passer pour des gestionnaires de fichiers, elles n'éveillent pas autant les soupçons lorsqu'elles demander des autorisations dangereuses comme ils le font pour charger le malware bien connu Sharkbot. C'est de là que vient toute la tromperie, car une fois l'application installée et les autorisations acceptées, les victimes ont été infectées par ce virus.
Ce virus a considérablement évolué au fil du temps et a réussi à apparaître sous diverses formes ou à partir de diverses applications infectées , comme se faire passer pour de faux antivirus ou des outils de nettoyage pour inspirer plus de confiance aux victimes potentielles. Il est revenu sous la forme de nouvelles applications, et nous vous disons ce qu'elles sont.
Méfiez-vous de ces 4 applications de gestion de fichiers
Dans le nouveau rapport Bitdefender, ces nouvelles applications ont été découvertes sous la forme des gestionnaires de fichiers et finalement Google les a supprimés depuis la boutique d'applications. Dans tous les cas, les personnes qui les ont installés pourraient encore les avoir sur leur mobile, vérifiez donc que vous n'en avez pas, le désinstaller et prenez soin de votre compte bancaire.
L'une de ces applications malveillantes est Gestionnaire de fichiers X , par Victor Soft Ice LLC (com.victorsoftice.llc), qui a été téléchargé 10,000 5,000 fois sur l'App Store Play Store. Celui-ci a également beaucoup de critiques négatives. Une autre application malveillante téléchargée plus de XNUMX XNUMX fois est FichierVoyager de Julia Soft Io LLC (com.potsepko9.FileManagerApp).
Avec plus de 1,000 téléchargements est LiteCleaner M' (com.ltdevelopergroups.litecleaner.m), désormais uniquement disponible dans les magasins d'applications tiers comme APKSOS ; dans lequel il y a aussi AIDE téléphonique, Nettoyeur, Booster 2.6′ (com.sidalistudio.developer.app).
Comme les autres, chacun d'entre eux exécute des vérifications anti-émulation pour échapper à la détection et ne chargera le malware que sur SIM britannique ou italienne cartes, pour l'instant, dans le cadre d'une campagne ciblée. En principe, la plupart de ses victimes se trouvent au Royaume-Uni, en Italie, en Iran et en Allemagne.
Une fois installé, il vous demande d'accepter des autorisations risquées comme l'installation de nouveaux packages, la lecture et l'écriture sur le stockage interne, l'accès aux détails du compte, etc., qui, bien qu'elles soient normales dans ce type d'application, sont très dangereuses car ce ne sont pas réellement des applications légitimes. Le point auquel le logiciel malveillant Sharbot est obtenu est par une fausse mise à jour que les utilisateurs acceptent.
Rappelez-vous, ce sont :
- Gestionnaire de fichiers X
- FichierVoyager
- LiteCleaner M'
- Téléphone AID Cleaner Booster 2.6′
Si vous avez installé cette application ou toute autre du type infecté, il est important que vous le supprimez dès que possible et changez les mots de passe de votre compte bancaire en ligne pour les empêcher d'y accéder et de l'utiliser. N'oubliez pas d'activer Play Protect si vous ne l'avez pas déjà fait et cela ne fait pas de mal d'essayer un antivirus.
Quelles applications bancaires mobiles l'attaque vise-t-elle ?
Notez que bien que plusieurs applications bancaires mobiles ciblées par des logiciels malveillants aient été détectées, la liste peut être mise à jour avec de nouvelles applications. Ceux qui sont connus pour le moment sont ceux-ci :
| nom du paquet | Entité bancaire |
| com.barclays.android.barclaysmobilebanking | Barclays |
| com.bankofireland.mobilebanking | Services bancaires mobiles de la Banque d'Irlande |
| com.cooperativebank.bank | La banque coopérative |
| ftb.ibank.android | Mobile AIB (NI) |
| com.nearform.ptsb | tsb permanent |
| fr.co.mbna.cardservices.android | Application mobile MBNA |
| com.danskebank.mobilebank3.uk | Mobile Bank Royaume-Uni – Danske Bank |
| com.barclays.bca | carte barclay |
| com.tescobank.mobile | Tesco Bank et Clubcard Pay+ |
| com.virginmoney.uk.mobile.android | Services bancaires mobiles Virgin Money |
| com.cooperativebank.smile | "sourire - la banque internet" |
| com.starlingbank.android | Starling Bank - Services bancaires mobiles |
| fr.co.metrobankonline.mobile.android.production | Banque de métro |
| fr.co.santander.santanderUK | Services bancaires mobiles à Santander |
| fr.co.hsbc.hsbcukmobilebanking | Services bancaires mobiles HSBC Royaume-Uni |
| fr.co.tsb.newmobilebank | Services bancaires mobiles du BST |
| com.grppl.android.shell.BOS | Application mobile de la Banque d'Écosse |
| com.grppl.android.shell.halifax | Services bancaires mobiles Halifax |
| com.grppl.android.shell.CMBlloydsTSB73 | Services bancaires mobiles Lloyds Bank |
| it.copergmps.rt.pf.android.sp.bmps | Banque MPS |
| it.extrabanca.mobile | NouveauExtraMobileBank |
| it.relaxbanking | RelaxBanking Mobile |
| it.bnl.apps.banking | BNL |
| it.bnl.apps.enterprise.hellobank | Bonjour la Banque! |
| fr.ingdirect.app | ING Italie |
| it.popso.SCIGNOapp | Application SCRIGNO |
| posteitaliane.posteapp.appbpol | Banque de poste |
| com.latuabancaperandroid | Intesa Sanpaolo Mobile |
| com.latuabancaperandroid.pg | Intesa Sanpaolo Entreprise |
| com.latuabancaperandroid.ispb | Intesa Sanpaolo Particulier |
| com.fineco.it | finco |
| com.CredemMobile | croyez-nous |
| com.bmo.mobile | Services mobiles BMO |
| com.fideuram.alphabetobanking | Alphabet bancaire |
| com.lynxspa.bancopopolare | YouApp – Services bancaires mobiles |
| com.vipera.chebanca | CheBanca! |
Bien qu'il s'agisse d'une attaque localisée, pour le moment, toute précaution est minime. Faites attention à ce que vous installez !
