Un nouveau malware bancaire permet à l’auteur de prendre le contrôle du smartphone de la victime. © Sashkin, Adobe Stock
Tech

Ce virus vole vos coordonnées bancaires sur votre smartphone

ActualitéClassé sous :cybersécurité , Android , smartphone

Le malware Android Exobot revient sous une nouvelle forme. Baptisé Octo, ce cheval de Troie bancaire permet à son auteur de voir l'écran de l'appareil visé et d'effectuer en temps réel des opérations bancaires frauduleuses sur le smartphone de la victime.

Cela vous intéressera aussi

[EN VIDÉO] Phishing : c’est quoi et comment s’en prémunir ?  Le hameçonnage, ou phishing en anglais, est une forme de spam consistant à se faire passer pour une personne ou un organisme fiable afin de pirater des informations. 

En surveillant le dark web, l'entreprise de cybersécurité ThreatFabric a découvert l'existence d'un nouveau cheval de Troie bancaire, baptisé Octo. Spécifique à Android, il s'agit d'une nouvelle version, plus évoluée, du cheval de Troie ExobotCompact.D, lui-même une évolution du malware Exobot découvert pour la première fois en 2016

Comme la plupart des malwares bancaires, Octo peut enregistrer les frappes au clavier afin d'enregistrer mots de passe et numéros de carte bancaire. Il vise également des applications spécifiques, notamment bancaires, où il affiche une fausse page par-dessus l'application qui demande à la victime de s'identifier. Le malware intègre aussi des fonctions pour intercepter et envoyer des SMS, bloquer les notifications d'applications spécifiques, ou encore recevoir des commandes d'un serveur.

Le malware réalise les opérations frauduleuses directement sur l’appareil (On-Device Fraud) afin que l’activité soit moins suspecte. © ThreatFabric

L’auteur peut commander le smartphone en temps réel

Toutefois, la nouveauté principale est que l'auteur a désormais la possibilité de prendre en main le smartphone de la victime. En plus de simplement voler les données et de les utiliser plus tard, il peut réaliser des opérations directement sur l'appareil infecté, réduisant le risque de détection. Les actions provenant de l'appareil et de l'adresse IP habituels, elles ont moins de risques d'être signalées comme suspectes par la banque ou l'application visée.

Octo s'appuie sur la fonction AccessibilityService d'Android pour réaliser les actions à distance (cliquer, faire défiler, coller du texte...), et la fonction MediaProjection pour afficher l'écran à raison d'une capture d'écran par seconde. L'auteur pourrait même créer un script pour les effectuer automatiquement selon l'application, sans avoir à interagir directement avec l'appareil infecté. Le cheval de Troie peut également afficher un écran noir pour cacher ses actions, couper toutes les notifications et baisser la luminosité au minimum.

De fausses pages Web qui réclament une mise à jour du navigateur redirigent les victimes vers les fausses applications sur le Play Store. © ThreatFabric

De fausses applications sur le Play Store

Le cheval de Troie a été distribué grâce à de fausses applications directement sur le Play Store de Google, qui ont été téléchargées plus de 50.000 fois. Ceux-ci ne contiennent pas le malware, mais un module (dropper) qui permet de l'installer, afin de contourner la sécurité du Play Store. Pour inciter les victimes à installer une de ces applications, l'auteur a utilisé de fausses pages sur des sites infectés qui demandent de télécharger une mise à jour du navigateur. L'une des applications pointées du doigt, et retirée depuis, est Fast Cleaner (vizeeva.fast.cleaner), qui a aussi été utilisée pour installer le malware bancaire Xenomorph. Les autres applications frauduleuses sont :

  • Pocket Screencaster (com.moh.screen)
  • Play Store (com.restthe71)
  • Postbank Security (com.carbuildz)
  • Pocket Screencaster (com.cutthousandjs)
  • BAWAG PSK Security (com.frontwonder2)
  • Play Store app install (com.theseeye5)

Ce genre de malware montre les limites de la double authentification, puisqu'il a accès aux comptes du smartphone et peut intercepter tout message reçu. La victime ne se rend même pas compte du problème étant donné que l'écran semble rester éteint. La seule parade est de faire très attention aux applications installées.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !