Les chercheurs de Zimperium se sont rendu compte que TrickMo, un cheval de Troie bancaire, faisait un retour en force sur les smartphones Android. Au cours de leurs investigations, les experts ont même découvert quarante nouvelles variantes du logiciel malveillant sur la toile.
Pour mémoire, TrickMo est apparu en 2020. Découvert par les chercheurs d’IBM, le virus avait été programmé pour contourner l’authentification à deux facteurs de plusieurs banques. Dans cette optique, TrickMo pouvait notamment intercepter tous les codes d’accès à usage unique envoyés par SMS par les applications bancaires. Sans surprise, les pirates à l’origine du malware cherchaient à siphonner les comptes de leurs cibles.
À lire aussi : Trois apps frauduleuses ont infiltré le Play Store et l’App Store pour vous dépouiller
Une technique éculée pour voler vos codes
De retour sur le devant de la scène, le malware cherche surtout à s’emparer du code d’accès de votre banque. Ce code PIN permet aux usagers de se connecter à l’application mobile de leur banque sans devoir entrer leur numéro de carte ou de compte. Pour arriver à leurs fins, les récentes itérations de TrickMo disposent d’un nouvel arsenal de fonctionnalités. Confirmant les découvertes des chercheurs de Cleafy, Zimperium assure que le malware est capable d’enregistrer le contenu diffusé à l’écran ou de prendre le contrôle du téléphone à distance, à la manière d’une télécommande.
Par ailleurs, TrickMo peut abuser du service d’accessibilité sur Android, censé aider les personnes ayant des handicaps, comme des déficiences visuelles, auditives ou motrices, à utiliser le téléphone. En exploitant ce service, le virus s’octroie des autorisations supplémentaires sans requérir la moindre action de la victime. Il peut en effet cliquer sur les demandes d’autorisation. Comme la version initiale qui a fait grand bruit en 2020, les éditions 2024 de TrickMo peuvent intercepter tous les codes envoyés par SMS. Enfin, il est en mesure d’exfiltrer une montagne de données personnelles de votre smartphone à votre insu.
Pour voler les codes PIN, TrickMo va superposer un faux écran de connexion par-dessus celui de votre application bancaire. La cible, persuadée de se connecter à sa banque, va entrer son code d’accès sans se douter qu’elle est tombée dans les filets des cybercriminels. Le malware va enregistrer automatiquement le code, ce qui ouvre les portes de votre compte.
« L’interface utilisateur trompeuse est une page HTML hébergée sur un site Web externe et est affichée en mode plein écran sur l’appareil, ce qui la fait ressembler à un écran légitime », précise Zimperium.
Dans la foulée, les pirates s’emparent du code de déverrouillage de votre appareil de la même manière. Le virus va alors pouvoir déverrouiller le téléphone en pleine nuit, entrer sur votre compte et lancer des opérations frauduleuses. C’est l’une des nouveautés du virus :
« Ce nouvel ajout permet à l’attaquant de faire fonctionner l’appareil même lorsqu’il est verrouillé ».
Notez qu’une pléthore de malwares se sert de faux écrans superposés pour piéger leurs victimes. C’est aussi le cas du malware Xenomorph, surtout taillé pour voler des cryptomonnaies. SOVA, un virus visant plus de 200 applications bancaires, procède également de la même manière.
TrickMo vise surtout les applications bancaires. Néanmoins, le virus est tout à fait capable d’appliquer les mêmes tactiques de piratage à des plateformes de streaming, des apps de commerce électronique, des services de VPN ou des réseaux sociaux.
Un virus propagé par du phishing
Selon Zimperium, TrickMo a fait 13 000 victimes dans plusieurs régions du monde, essentiellement le Canada, la Turquie ou l’Allemagne. Ces nouvelles versions du virus se propagent par le biais de messages de phishing. Les pirates partagent des fichiers APK, dont le code renferme une charge malveillante, sur les réseaux sociaux, par mail ou encore par SMS.
While Android allows sideloading, Google and the security community have warned users for years about the real risks associated with downloading apps directly from the web. In the U.S., federal agencies, NGOs and fintech associations have guidance underscoring this issue. (2/5)
— David Kleidermacher (@DaveKSecure) October 1, 2024
Pour éviter de tomber dans le piège des cybercriminels, on vous recommande donc d’éviter à tout prix l’installation d’applications en dehors du Play Store. Comme le rappelait récemment Google sur son blog, 95 % des « principales familles de logiciels malveillants frauduleux qui exploitent des autorisations sensibles » ont été installées directement depuis le Web.
« Google et la communauté de la sécurité ont mis en garde les utilisateurs depuis des années sur les risques réels associés au téléchargement d’applications directement depuis le Web », souligne Dave Kleidermacher, vice-président et responsable de la sécurité chez Google, sur son compte X.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Zimperium
