Les chercheurs de Cyble ont découvert la trace d’un nouveau malware visant les smartphones Android. Baptisé Antidot, le virus est un cheval de Troie, c’est-à-dire un logiciel malveillant qui trompe les utilisateurs en se faisant passer pour un programme légitime.
En l’occurrence, Antidot berne ses victimes en se déguisant en mise à jour du Google Play Store. Dans un premier temps, les pirates envoient un e-mail ou un SMS qui prétend provenir de Google. Il vous informe que vous devez absolument mettre à jour Google Play sur votre téléphone. Ce message contient un lien menant à « une fausse page de mise à jour ». Rassurée par la présence du logo officiel du Play Store, la cible va avoir tendance à cliquer sur la fenêtre.
À lire aussi : Le malware Grandoreiro est de retour et s’attaque à plus de 1500 banques
Un APK malveillant au lieu d’une mise à jour
Au lieu de télécharger une mise à jour du Play Store, l’internaute va installer un fichier APK contenant Antidot. Une fois installé, le malware va afficher une autre fausse page de mise à jour. Elle va rediriger l’utilisateur vers les fonctions d’accessibilités d’Android. Ces paramètres sont initialement conçus pour aider les personnes malvoyantes à se servir de leur smartphone. Malheureusement, de nombreuses applications frauduleuses en abusent pour s’emparer des données des usagers. Une fois que l’utilisateur aura accordé l’accès aux paramètres, le virus pourra arriver à ses fins.
Le logiciel malveillant va en fait s’octroyer le contrôle de votre appareil. Il pourra envoyer des messages, passer des appels, verrouiller l’écran, collecter les SMS, désinstaller une app, enregistrer tout ce que vous tapez sur le clavier virtuel et lancer l’appareil photo. Au travers du virus, les cybercriminels vont en fait exfiltrer une montagne de données personnelles sur votre compte.
Une attaque de superposition
Surtout, le malware va mener des attaques de superposition. En clair, des fenêtres factices vont se superposer au-dessus de l’application de votre banque. Cette fenêtre reprend l’interface de l’app bancaire, ce qui contribue à berner les internautes. Comme l’explique le rapport de Cyble, des « pages d’hameçonnage HTML » qui imitent « des applications bancaires ou de cryptomonnaie légitimes » sont chargées dans WebView, le composant permettant d’afficher des pages web dans une app. De facto, la victime entre son identifiant et son mot de passe sans se douter de la supercherie. Les pirates obtiennent ainsi un accès au compte.
De nombreux malwares se servent des attaques de superposition pour obtenir des informations sensibles. C’est aussi le cas de Brokewell, un cheval de Troie bancaire apparu le mois dernier, ou de Chameleon, un virus qui désactive le lecteur d’empreintes digitales pour voler le code de déverrouillage des smartphones.
Pour Cyble, les chevaux de Troie bancaires comme Antidot représentent « une menace importante pour la sécurité et la vie privée des utilisateurs ». Le rapport précise que les fausses pages de mises à jour utilisées par le malware sont rédigées dans plusieurs langues différentes, dont le français. Les pirates visent vraisemblablement les utilisateurs qui résident dans un pays francophone.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Cyble
Impeccable merci
Bonjour,
Et une fois le téléphone infecté, comment se débarrasser de ce malware ?
Merci beaucoup !