ISGroup Conseil en Cybersécurité

Trojan bancaire Android SharkBot : Une nouvelle ère d’attaques ATS sur mobile

SharkBot, découvert en octobre 2021 par l’équipe de Threat Intelligence de Cleafy, est un cheval de Troie bancaire Android avancé qui cible les banques et les services de cryptomonnaies au Royaume-Uni, en Italie et aux États-Unis. Ce malware représente une nouvelle génération de menaces mobiles dotées de capacités innovantes, exploitant notamment les attaques par système de transfert automatique (ATS). Ces attaques contournent les mécanismes d’authentification traditionnels, permettant aux attaquants d’amplifier les activités frauduleuses sans interaction directe de l’utilisateur.

Date06-12-2024 15:28:40
Informations
  • Tendance

Résumé technique

SharkBot utilise les services d’accessibilité d’Android pour exécuter ses activités malveillantes, notamment :

  • Attaques ATS : Remplissage automatique des champs dans les applications bancaires légitimes pour effectuer des virements non autorisés.
  • Attaques par superposition (Overlay) : Imitation des écrans de connexion des applications pour voler des identifiants et des données de carte de crédit.
  • Keylogging : Surveillance et enregistrement des saisies sensibles des utilisateurs.
  • Interception SMS : Capture des codes d’authentification à deux facteurs basés sur les SMS.
  • Contrôle à distance complet : Simulation de gestes et de clics pour manipuler l’appareil.

Fonctionnalités et techniques clés :

  1. Évasion de l’analyse :

    • Obfuscation des chaînes de caractères pour masquer les commandes et les détails du C2.
    • Détection d’émulateurs pour contourner les bacs à sable (sandboxes).
    • Communications chiffrées via un encodage Base64 et un algorithme de génération de domaines (DGA).

  2. Abus avancé des autorisations :

    • Exploite REQUEST_IGNORE_BATTERY_OPTIMIZATIONS pour maintenir la connexion avec les serveurs C2.
    • Utilise les services d’accessibilité pour manipuler les paramètres et empêcher la désinstallation.

  3. Conception modulaire :

    • Télécharge depuis le C2 un fichier externe .jar contenant les fonctionnalités ATS.

Indicateurs de compromission (IOC) :

  • Noms d’applications : Media Player HD.
  • Nom du paquet : com.pycdvgljmfgh3hgp8jo72giu.omflsx1q2g.
  • Domaines C2 : sharkedtest1[.]xyz, sharkedtestuk[.]xyz.
  • Hash MD5 : f7dfd4eb1b1c6ba338d56761b3975618.

Recommandations

Pour les organisations (Banques, plateformes crypto) :

  1. Analyse comportementale : Mettre en œuvre des mécanismes de détection avancés pour identifier les anomalies dans les actions des utilisateurs (ex. attaques ATS).
  2. Politiques Zero Trust : Traiter toutes les transactions, même provenant d’appareils de confiance, avec une attention particulière.
  3. Surveillance et alertes : Surveiller activement les superpositions (overlays) et les événements d’accessibilité imprévus dans leurs applications.
  4. Campagnes de sensibilisation : Éduquer les utilisateurs sur les menaces émergentes comme SharkBot et sur les risques liés à l’octroi d’autorisations excessives.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *