Des chercheurs en cybersécurité ont découvert une nouvelle variante d'un malware bancaire sur Android. Se faisant passer pour l'antivirus McAfee, Escobar est capable de voler les codes à usage unique de Google Authenticator.
[EN VIDÉO] Qu'est-ce qu'une cyberattaque ? Avec le développement d'Internet et du cloud, les cyberattaques sont de plus en plus fréquentes et perfectionnées. Qui est derrière ces attaques et dans quel but ? Quelles sont les méthodes des hackers et quelles sont les cyberattaques les plus massives ?
Un nouveau cheval de Troie bancaire sur Android a été détecté dans les milieux des cybercriminels. Baptisé Escobar, il s'agit d'une variante d'Aberebot découvert l'été dernier. Celui-ci a été mis à jour avec de nouvelles fonctions, dont la capacité de contourner l'authentification à deux facteurs de Google Authenticator.
Le malware a été détecté par MalwareHunterTeam le 3 mars, dans une application se faisant passer pour l'antivirus McAfee. Elle a été analysée par les spécialistes du site Cyble. Cette nouvelle version est capable de voler les codes à usage unique dans Google Authenticator, et l'auteur peut prendre le contrôle à distance de l'appareil grâce à un module VNC.
Possible interesting, very low detected "McAfee9412.apk": a9d1561ed0d23a5473d68069337e2f8e7862f7b72b74251eb63ccc883ba9459f
— MalwareHunterTeam (@malwrhunterteam) March 3, 2022
From: https://cdn.discordapp[.]com/attachments/900818589068689461/948690034867986462/McAfee9412.apk
"com.escobar.pablo"
???? pic.twitter.com/QR89LV4jat
Une application qui vole les identifiants bancaires
De plus, on retrouve les techniques habituelles des malwares bancaires, à commencer par le vol d'identifiants et de mots de passe en superposant une fausse page de connexion par-dessus les applications bancaires. Le malware vole également les données comme les contacts, les SMS, l'historique d'appels, la localisation, l'enregistrement des appels, et a même la possibilité de prendre des photos, envoyer des SMS ou de passer des appels, le tout commandé par un serveur de contrôle.
Cyble a découvert une publication par le développeur sur un forum dédié aux cybercriminels. Celui-ci tente de louer une version bêta de son malware pour 3.000 dollars, et annonce que le prix passera à 5.000 dollars pour la version finale. La distribution du cheval de Troie prendra donc différentes formes, selon les équipes qui le loueront. Comme d'habitude, la meilleure parade pour éviter l'infection est d'installer uniquement les applications en provenance du Play Store de Google.