Les applications semblaient légitimes et inoffensives, mais elles venaient rapatrier leur charge nuisible lors de mises à jour. © VIN JD, Pixabay
Tech

Ermac 2 : attention au retour du virus qui vole vos coordonnées bancaires

ActualitéClassé sous :cybersécurité , smartphone , Android 11

Une fois introduit sur le mobile, Ermac 2 sait se faire passer pour une des applications légitimes déjà installées et vient voler les coordonnées bancaires de sa victime.

Cela vous intéressera aussi

[EN VIDÉO] Qu'est-ce qu'une cyberattaque ?  Avec le développement d'Internet et du cloud, les cyberattaques sont de plus en plus fréquentes et perfectionnées. Qui est derrière ces attaques et dans quel but ? Quelles sont les méthodes des hackers et quelles sont les cyberattaques les plus massives ? 

Une petite faim... et un compte bancaire qui se vide... C'est, entre autres, par le truchement de la version polonaise d'un faux site d'une application de livraison de repas qu'un cheval de Troie vient s'emparer des coordonnées bancaires de ses victimes. Le malware détecté par la société de cybersécurité Eset, n'est pas un inconnu. Il s'agit d'Ermac dans une version revisitée. Ce virus faisait partie de ceux qui avaient sévi sur la Play Store Android en fin d'année dernière.

Cette nouvelle version s'introduit sur le mobile à partir du moment où l'on vient cliquer sur un lien malveillant. Comme dans notre exemple, il peut s'agir de l'imitation de la version polonaise de Bolt Foot, une chaine de restauration rapide, par exemple. Mais, dans tous les cas, le vecteur qui permet de faire cliquer la victime sur le lien est un mail de phishing, des publications malveillantes sur les réseaux sociaux, ou de la publicité vérolée.

L'objectif consiste à faire télécharger l'application sur le mobile directement pour que cela puisse échapper aux systèmes de sécurité du Play Store. Lorsque l'application est téléchargée, elle va demander des autorisations lui permettant d'accéder à un contrôle complet du smartphone. Ensuite, l'application va chercher les applications avec lesquelles les utilisateurs ont l'habitude de réaliser des paiements directement.

Android 11 et 12 renforcent la protection

Il s'attaque même aux nombreuses applications bancaires issues du monde entier. Il en conserve en mémoire 467 dont il sait cloner l'interface, c'est presqu'une centaine d'applications de plus qu'au début de l'année. Ensuite, pour piller le compte en banque, il suffit que la victime utilise une de ces applications. Au lieu de rentrer des identifiants sur l'application, c'est sur une fausse page clonée que l'on va saisir ses sésames et ses coordonnées bancaires.

En plus de très nombreuses applications populaires, le cheval de Troie est aussi capable de s'approprier les portefeuilles de crypto-monnaie. Ermac se trouve sur le darknet et l'acquérir coûte désormais 5.000 dollars pour un hacker. C'est 2.000 dollars de plus que sa première mouture, ce qui signifie que l'investissement en vaut la chandelle pour les pirates. Mais il y a tout de même un hic dans cette mécanique bien huilée, car avec les versions 11 et 12 d'Android, la sécurité intégrée vient empêcher un réglage d'accessibilité indispensable pour que la supercherie fonctionne.

Pour en savoir plus

Android : attention à ces applications qui volent vos coordonnées bancaires

Depuis quatre mois, douze applications Android avaient déjoué les protections du Play Store. Elles permettaient de collecter des données personnelles dont les informations bancaires. Elles ont été très difficiles à détecter. Google les a retirées.

Article de Sylvain Biget, publié le 

Elles sont au nombre de douze et ont mis du temps à être découvertes par les chercheur en cybersécurité de ThreatFabric. Il s'agit d'un lot d'applications du Play Store pour Android vérolées. Elles sont passées au travers des systèmes de sécurité. Téléchargées plus de 300.000 fois, depuis quatre mois, elles enfermaient des chevaux de Troie bancaires qui venaient siphonner les mots de passe des utilisateurs et les codes d'authentification à deux facteurs.

Les frappes au clavier étaient aussi relevées et le malware en profitait également pour prendre des captures d'écran. Les applications semblant vertueuses, comme un scanner de codes QR, ou bien pour créer des PDF, ou encore de gestion de crypto-monnaie, enfermaient jusqu'à quatre familles de malwares. Les chercheurs ont eu bien du mal à détecter la charge nuisible de ces applications et c'est exactement grâce à cette faible signature qu'elles sont passées sous les radars des systèmes de détection automatique de Google. Il faut préciser que c'est après l'installation de l'application que les charges utiles étaient rapatriées sous la forme de mises à jour issues de sources autres que le Play Store.

Des mises à jour pour installer le malware

Les créateurs de ces malwares sont malins puisque, pour ne pas attirer l'attention, l'installation du code malveillant n'était pas systématique et ils ne ciblaient que certaines zones géographiques. De même, les applications avaient tout l'air d'être légitimes et disposaient d'ailleurs d'avis positifs. Elles fonctionnaient de façon normale et remplissaient normalement la tâche pour laquelle elles avaient été conçues. Le cheval de Troie bancaire ayant le plus opéré porte le nom d'Anatsa. Les trois autres s'appellent Alien, Hydra et Ermac. Tous étaient inoculés via un module baptisé Gymdrop. En n'allant pas chercher systématiquement la charge utile, c'est lui qui permettait de ne pas attirer l'attention des systèmes de sécurité.

Alors que la semaine dernière, neuf millions de smartphones ont été contaminés par une application présente sur l'AppGallery de Huawei, la détection des malwares reste toujours un des principaux soucis dans les boutiques d'applications et notamment chez Google. Depuis les dix dernières années, de nombreuses applications vérolées ont pu trouver leur place dans le Play Store. Elles sont retirées immédiatement après avoir été détectées ; mais, comme cet exemple le montre, malgré des systèmes de protection avancés, les pirates ont toujours un coup d'avance pour les duper.

Vous souhaitez accéder à Futura sans être interrompu par la publicité ?

Découvrez nos abonnements en ligne et naviguez sans pub ! En ce moment, le Mag Futura est offert pour une souscription de 3 mois à l'abonnement "Je participe à la vie de Futura" !

Le Mag Futura, c'est quoi ? 

  • Notre première revue papier de + de 200 pages pour rendre la science accessible au plus grand nombre
  • Une plongée au cœur de 4 thématiques scientifiques qui vont marquer 2022, de la Terre à la Lune

*L'envoi du Mag Futura se fait après le troisième mois d'inscription.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !