Une fois introduit sur le mobile, Ermac 2 sait se faire passer pour une des applications légitimes déjà installées et vient voler les coordonnées bancaires de sa victime.
au sommaire
Une petite faim... et un compte bancaire qui se vide... C'est, entre autres, par le truchement de la version polonaise d'un faux site d'une applicationapplication de livraison de repas qu'un cheval de Troie vient s'emparer des coordonnées bancaires de ses victimes. Le malware détecté par la société de cybersécurité Eset, n'est pas un inconnu. Il s'agit d'Ermac dans une version revisitée. Ce virus faisait partie de ceux qui avaient sévi sur la Play Store Android en fin d'année dernière.
Cette nouvelle version s'introduit sur le mobile à partir du moment où l'on vient cliquer sur un lien malveillant. Comme dans notre exemple, il peut s'agir de l'imitation de la version polonaise de Bolt Foot, une chaine de restauration rapide, par exemple. Mais, dans tous les cas, le vecteur qui permet de faire cliquer la victime sur le lien est un mail de phishing, des publications malveillantes sur les réseaux sociauxréseaux sociaux, ou de la publicité vérolée.
L'objectif consiste à faire télécharger l'application sur le mobile directement pour que cela puisse échapper aux systèmes de sécurité du Play StoreStore. Lorsque l'application est téléchargée, elle va demander des autorisations lui permettant d'accéder à un contrôle complet du smartphone. Ensuite, l'application va chercher les applications avec lesquelles les utilisateurs ont l'habitude de réaliser des paiements directement.
Android 11 et 12 renforcent la protection
Il s'attaque même aux nombreuses applications bancaires issues du monde entier. Il en conserve en mémoire 467 dont il sait cloner l'interface, c'est presqu'une centaine d'applications de plus qu'au début de l'année. Ensuite, pour piller le compte en banque, il suffit que la victime utilise une de ces applications. Au lieu de rentrer des identifiants sur l'application, c'est sur une fausse page clonée que l'on va saisir ses sésames et ses coordonnées bancaires.
En plus de très nombreuses applications populaires, le cheval de Troie est aussi capable de s'approprier les portefeuilles de crypto-monnaie. Ermac se trouve sur le darknet et l'acquérir coûte désormais 5.000 dollars pour un hacker. C'est 2.000 dollars de plus que sa première mouture, ce qui signifie que l'investissement en vaut la chandelle pour les pirates. Mais il y a tout de même un hic dans cette mécanique bien huilée, car avec les versions 11 et 12 d'AndroidAndroid, la sécurité intégrée vient empêcher un réglage d'accessibilité indispensable pour que la supercherie fonctionne.
Android : attention à ces applications qui volent vos coordonnées bancaires
Depuis quatre mois, douze applications Android avaient déjoué les protections du Play Store. Elles permettaient de collecter des données personnelles dont les informations bancaires. Elles ont été très difficiles à détecter. GoogleGoogle les a retirées.
Article de Sylvain BigetSylvain Biget, publié le
Elles sont au nombre de douze et ont mis du temps à être découvertes par les chercheur en cybersécurité de ThreatFabric. Il s'agit d'un lot d'applications du Play Store pour Android vérolées. Elles sont passées au travers des systèmes de sécurité. Téléchargées plus de 300.000 fois, depuis quatre mois, elles enfermaient des chevaux de Troiechevaux de Troie bancaires qui venaient siphonner les mots de passe des utilisateurs et les codes d'authentification à deux facteurs.
Les frappes au clavier étaient aussi relevées et le malware en profitait également pour prendre des captures d'écran. Les applications semblant vertueuses, comme un scanner de codes QR, ou bien pour créer des PDF, ou encore de gestion de crypto-monnaie, enfermaient jusqu'à quatre familles de malwares. Les chercheurs ont eu bien du mal à détecter la charge nuisible de ces applications et c'est exactement grâce à cette faible signature qu'elles sont passées sous les radars des systèmes de détection automatique de Google. Il faut préciser que c'est après l'installation de l'application que les charges utiles étaient rapatriées sous la forme de mises à jour issues de sources autres que le Play Store.
Des mises à jour pour installer le malware
Les créateurs de ces malwares sont malins puisque, pour ne pas attirer l'attention, l'installation du code malveillant n'était pas systématique et ils ne ciblaient que certaines zones géographiques. De même, les applications avaient tout l'airair d'être légitimes et disposaient d'ailleurs d'avis positifs. Elles fonctionnaient de façon normale et remplissaient normalement la tâche pour laquelle elles avaient été conçues. Le cheval de Troie bancaire ayant le plus opéré porteporte le nom d'Anatsa. Les trois autres s'appellent Alien, HydraHydra et Ermac. Tous étaient inoculés via un module baptisé Gymdrop. En n'allant pas chercher systématiquement la charge utile, c'est lui qui permettait de ne pas attirer l'attention des systèmes de sécurité.
Alors que la semaine dernière, neuf millions de smartphones ont été contaminés par une application présente sur l'AppGallery de Huawei, la détection des malwares reste toujours un des principaux soucis dans les boutiques d'applications et notamment chez Google. Depuis les dix dernières années, de nombreuses applications vérolées ont pu trouver leur place dans le Play Store. Elles sont retirées immédiatement après avoir été détectées ; mais, comme cet exemple le montre, malgré des systèmes de protection avancés, les pirates ont toujours un coup d'avance pour les duper.
