Les chercheurs de Cyfirma mettent en garde les utilisateurs de smartphones Android. Les experts de la société singapourienne ont en effet découvert qu’un nouveau malware, baptisé FireScam, se propage actuellement sur les téléphones.
Le logiciel malveillant se cache dans une fausse version premium de l’application Telegram. Cette version frauduleuse, dont le code renferme le malware, est partagée sur des imitations de RuStore, l’alternative russe au Play Store de Google et à l’App Store d’Apple. La plateforme est née dans le sillage de la guerre en Ukraine, suite aux sanctions décrétées contre la Russie. Ces pages imitant RuStore sont distribuées par le biais de la plateforme Github.
À lire aussi : 30 000 appareils Android piratés – ils doivent être « immédiatement déconnectés d’Internet »
Des tactiques de contournement sophistiquées
Dans un premier temps, la page malveillante va d’abord proposer d’installer un fichier nommé GetAppsRu.apk. C’est un compte-gouttes, un programme utilisé pour installer discrètement d’autres logiciels malveillants en contournant les mécanismes de sécurité des smartphones visés. Le virus ne déclenche en effet la charge malveillante qu’une fois qu’il a passé les défenses de l’appareil. Il s’agit d’un « processus d’infection en plusieurs étapes ». C’est une tactique classique, mais efficace, massivement exploitée par les cybercriminels.
Comme l’a remarqué Cyfirma, le code est également obscurci avec DexGuard, un outil qui brouille le code d’un logiciel, toujours dans l’optique d’éviter d’être détecté par les antivirus. Passé l’installation, il va réclamer une poignée d’autorisations. Le compte-gouttes télécharge et installe ensuite un second fichier malveillant nommé Telegram Premium.apk. Là encore, le virus demande une pléthore d’autorisations à l’utilisateur, comme la possibilité de lire les notifications, les SMS et de passer des appels. Il veut aussi pouvoir consulter les données du presse-papiers.
Un pilleur de données
C’est là que FireScam entre en scène. Celui-ci se cache en effet dans le code de la version Telegram frauduleuse. Une fois qu’il est parvenu à entrer sur le smartphone de sa cible, il va afficher une page de connexion malveillante. Celle-ci réclame les identifiants de connexion Telegram de l’utilisateur. Avec ces données, les pirates vont pouvoir prendre le contrôle du compte de la cible.
Néanmoins, la cyberattaque ne s’arrête pas là. Le virus va faire tout son possible pour siphonner toutes les données stockées ou transitant sur le smartphone. Toutes les données copiées et collées sont collectées et transmises sur un serveur à distance. Le malware est capable de « maintenir un contrôle persistant sur les appareils compromis ». Il surveille en continu « les modifications d’état de l’écran, les transactions de commerce électronique, l’activité du presse-papiers et les interactions des utilisateurs » collecter discrètement des informations sensibles. Dans la foulée, il peut aussi exfiltrer les données issues des applications système.
À lire aussi : Cyberattaque russe sur Android – 2 virus espions se lancent dans le vol de données
Une menace « sophistiquée et multiforme »
FireScam vise surtout les mots de passe ou les coordonnées bancaires, vraisemblablement dans le but de dépouiller les comptes en banque des cibles. Les chercheurs considèrent FireScam comme un virus espion particulièrement redoutable dans le domaine du vol de données.
C’est une nouvelle menace « sophistiquée et multiforme » qui vise les appareils Android. Comme toujours, on vous encourage à privilégier les applications vérifiées et provenant de développeurs de confiance.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Cyfirma
