Les chercheurs de Cleafy, une société de lutte contre la fraude, ont découvert un nouveau cheval de Troie visant les appareils tournant sous Android. Baptisé Nexus, le logiciel malveillant a été annoncé par ses créateurs en juin 2022. Néanmoins, Cleafy a identifié les premières attaques signées Nexus des mois avant l’annonce.
À lire aussi : une armée de malwares cible votre compte bancaire, c’est de pire en pire
Un code source volé
Pour mettre au point le virus, les hackers se sont basés sur le code du malware Sova, qui a été repéré à plusieurs reprises l’an dernier. Le créateur de Sova accuse d’ailleurs les individus derrière Nexus d’avoir le code source de son logiciel malveillant, peut-on lire sur un forum du dark web.
En miroir de Sova, Nexus est d’abord conçu pour voler des informations sensibles, comme des coordonnées bancaires ou des mots de passe, sur les smartphones de ses victimes. Pour arriver à ses fins, Nexus peut afficher des fenêtres factices sur l’écran de l’appareil, intercepter tous les SMS reçus ou enregistrer les mots tapés sur le clavier virtuel. Il peut aussi s’emparer des codes d’authentification, envoyés par SMS ou générés par une application comme Google Authenticator. De cette manière, Nexus peut contourner la double authentification.
450 apps Android visées
Selon les chercheurs de Cleafy, le virus est vendu par le biais d’un abonnement Malware-as-a-Service (MaaS) sur « des forums clandestins ou via canaux privés sur Telegram ». Ce type d’abonnement permet à un pirate de louer un logiciel malveillant clé en main en réglant des frais périodiquement. En l’occurrence, Nexus est disponible pour 3 000 dollars par mois. Grâce à ce système d’abonnement, les concepteurs peuvent toucher un large public, dont des individus dépourvus d’importantes connaissances techniques.
Le cheval de Troie est activement exploité par plusieurs cybercriminels, met en garde Cleafy. Le virus vise surtout les applications relatives aux cryptomonnaies, comme des portefeuilles numériques ou des plates-formes d’échange, et les applications bancaires. Le maliciel cible un total de 450 applications financières différentes.
Un nouveau botnet Android en pleine expansion
Depuis janvier 2023, le virus est massivement mis en avant sur plusieurs forums destinés aux cybercriminels. Les concepteurs de Nexus présentent désormais le malware comme un redoutable botnet. En clair, le virus peut être utilisé pour prendre le contrôle d’une armée de tablettes ou de smartphones en vue d’une attaque informatique à grande échelle.
Une fois que les appareils ont été infectés par Nexus, les pirates peuvent en effet s’en servir pour déployer des attaques, comme des attaques DDoS ou des ransomwares. Les concepteurs pourraient d’ailleurs avoir ajouté un mécanisme de mise à jour automatique, capable de chiffrer les données stockées sur un terminal.
Une fois que les données ont été chiffrées à l’insu des usagers, les pirates peuvent réclamer une rançon en cryptomonnaies. Néanmoins, Cleafy estime qu’il est peu probable que le mécanisme soit destiné à négocier une rançon, Nexus étant taillé pour s’attaquer aux téléphones. Ce mécanisme de chiffrage peut surtout aider le virus à cacher ses activités illicites des radars d’un système de sécurité.
Aux yeux des experts de Cleafy, « Nexus est une menace réelle capable d’infecter des centaines d’appareils à travers le monde ». Le rapport précise que le malware est toujours en phase bêta. D’autres fonctionnalités risquent de venir compléter l’arsenal de Nexus dans un avenir proche…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Cleafy