Passer au contenu

Le cheval de Troie bancaire « Alien », nouveau cauchemar des utilisateurs Android

Né sur les cendres de Cerberus, ce nouveau malware cible plus de 200 applications bancaires sur les smartphones des utilisateurs européens, y compris français.

Les malwares sous Android sont en perpétuel renouvellement. A peine Cerberus, le fameux cheval de Troie bancaire, est-il parti en retraite qu’un autre se place sur le devant de la scène. Baptisé « Alien », ce nouveau cauchemar des utilisateurs Android, a été détecté et analysé par les chercheurs en sécurité de ThreatFabric. Il s’agit en réalité d’un rejeton de Cerberus, dont il reprend une bonne partie du code source. Il n’est donc pas impossible que son auteur ait fait partie de cet ancien groupe de pirates, qui s’est disloqué pendant l’été.

Toutefois, Alien n’est pas un simple remake de Cerberus, mais plutôt une version remastérisée et augmentée. Ainsi le code malveillant présente deux nouvelles fonctionnalités que son ancêtre n’avait pas, à savoir l’installation d’une porte dérobée et l’interception de notifications. La première est implémentée de façon assez basique, par le biais d’un exécutable TeamViewer, et permet d’avoir un contrôle total de l’appareil. Dans les prochaines versions d’Alien, il est probable que les auteurs créeront leur propre logiciel d’accès à distance, pour gagner en furtivité.

Accès privilégié

L’interception de notifications, de son côté, s’appuie sur un droit d’accès spécial du système Android (Notification Listener Service), que le malware s’octroie de façon « manuelle » en bidouillant avec l’interface graphique, par le biais des privilèges d’accessibilité, plus faciles à obtenir. Au total, ce cheval de Troie est capable de s’attaquer à 226 applications mobiles, principalement liées à des services bancaires ou de cryptomonnaies.

ThreatFabric – Nombre de codes malveillants “Alien” détectés

Alien est surtout diffusé en Europe, à commencer par l’Espagne, la Turquie et l’Allemagne. La France figure en sixième position. Selon Zdnet, le vecteur d’infection principal est la diffusion par l’intermédiaire d’un site piégé. Certains exemplaires peuvent aussi se retrouver sur Play Store. Raison de plus de toujours être vigilant quant aux logiciels que l’on installe sur son smartphone Android.

Sources: ThreatFabric, ZDnet

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN