Passer au contenu

Android : un dangereux cheval de Troie bancaire découvert sur Google Play

Baptisé Xenomorph, ce malware a infecté plus de 50 000 utilisateurs et ciblent les établissements bancaires de quatre pays européens.

En fouillant dans la boutique en ligne Google Play, les chercheurs en sécurité de ThreatFabric ont eu la chance de détecter un tout nouveau cheval de Troie bancaire. Il était diffusé sous les apparences d’une application utilitaire baptisée « Fast Cleaner », qui promettait d’améliorer les performances d’un smartphone Android et que plus de 50 000 utilisateurs ont installée.

A découvrir aussi en vidéo :

 

Le malware a été baptisé « Xenomorph », en référence à Alien, ce monstre extraterrestre de Ridley Scott qui a également donné le nom à un précédent cheval de Troie bancaire. Plusieurs indices techniques semblent en effet attester que c’est le même groupe de pirates qui se cache derrière Alien et Xenomorph.

À l’heure actuelle, ce dernier est encore à un stade précoce, car beaucoup de fonctions sont mentionnées dans le code, mais ne sont pas encore implémentées. Les modules les plus importants, en revanche, existent déjà. Au moment de l’installation, Xenomorph réclame les droits d’accessibilité, ce qui lui permet de mettre en place des attaques par écrans de superposition. C’est une technique assez classique. Quand le malware détecte l’ouverture d’une appli bancaire ciblée, elle génère un écran qui vient se placer par dessus son interface graphique, dans le but d’intercepter les identifiants.

ThreatFabric – Ecrans “overlay” pour l’interception d’identifiants

Xenomorph est également capable d’intercepter des SMS et des notifications, ce qui peut se révéler utile pour contourner des mécanismes d’authentification forte. Toutes les instructions sont reçues par des serveurs de commande et de contrôle qui, pour gérer ces communications, s’appuient sur le projet open source (et parfaitement légal) Retrofit2. Le malware ciblait 56 établissements bancaires de quatre pays européens (Belgique, Espagne, Portugal, Italie), ainsi qu’une douzaine d’applications plus générales (messageries, portefeuille crypto, etc.). De conception modulaire, Xenomorph va probablement gagner en fonctionnalités et devenir un cheval de Troie très performant.

Source: ThreatFabric

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN