Quatre nouvelles variantes de logiciels malveillants Android ciblant plus de 800 applications bancaires ont été découvertes.
Quatre nouvelles souches de logiciels malveillants Android, découvertes récemment, attaquent silencieusement plus de 800 applications financières, utilisant des méthodes sophistiquées pour voler les données des utilisateurs.
Une nouvelle étude de la société américaine de technologies de sécurité Zimperium a révélé un tableau inquiétant de la sécurité des appareils Android, découvrant quatre campagnes de logiciels malveillants à grande échelle, dont RecruitRat, SaferRat, Astrinox et Massiv.
Selon le groupe de recherche en cybersécurité zLabs, qui fait partie de Zimperium, ces menaces ciblent directement plus de 800 applications bancaires et de portefeuilles de cryptomonnaies dans le monde, avec un risque de vol de données personnelles de haut niveau.
Quatre variantes de logiciels malveillants dotées de tactiques d'hameçonnage sophistiquées.
Les experts affirment que chaque famille de logiciels malveillants utilise une méthode d'infection différente, mais qu'elles s'articulent toutes autour de techniques d'hameçonnage communes telles que l'hameçonnage via de faux sites web et le smishing par SMS.
SaferRat exploite la psychologie des utilisateurs en créant de faux sites web promettant un accès gratuit à des services de streaming premium. Ces sites sont conçus pour ressembler trait pour trait aux sites authentiques, permettant ainsi aux victimes d'y saisir leurs identifiants sans éveiller les soupçons.
Parallèlement, RecruitRat cible les demandeurs d'emploi. Les pirates créent de faux sites web de recrutement, puis demandent aux utilisateurs de télécharger un fichier APK déguisé en application de candidature. Une fois installé, le logiciel malveillant agit discrètement.
Astrinox a opté pour une approche différente, en usurpant l'identité d'un outil professionnel nommé HireX et en le distribuant via un site web distinct. Bien que des traces de cette campagne aient déjà été repérées sur l'App Store, les chercheurs ont confirmé qu'elle ne cible désormais que les appareils Android.
Massiv, en particulier, est le cas le plus mystérieux. Ce logiciel malveillant est si habilement dissimulé que les experts n'ont pas pu déterminer sa méthode de distribution initiale, ce qui démontre sa dangerosité et la difficulté à le détecter.
Attaques par superposition – méthodes sophistiquées de vol d'informations.
Après avoir infiltré l'appareil, le logiciel malveillant déploie rapidement une technique de superposition, une forme d'attaque courante mais extrêmement efficace. Lorsque l'utilisateur ouvre une application bancaire ou de portefeuille électronique, une fausse interface apparaît par-dessus l'application légitime.
Le danger réside dans le fait que cette interface est identique à l'originale. Lorsque les utilisateurs saisissent leurs identifiants ou codes PIN, ces données sont directement transmises aux pirates informatiques au lieu du système officiel.
De plus, les logiciels malveillants exploitent les services d'accessibilité, une fonctionnalité conçue pour aider les personnes handicapées, afin de prendre le contrôle total de l'appareil. Ils peuvent afficher de faux écrans, tels que « mise à jour système » ou « application bloquée », pour distraire les utilisateurs tout en collectant secrètement des données.
Voler les codes OTP et suivre toute l'activité.
L'un des aspects les plus préoccupants est sa capacité à contourner les mesures de sécurité courantes telles que les codes OTP. Des experts ont découvert que ces logiciels malveillants peuvent intercepter et lire les SMS en temps réel, dérobant ainsi les codes d'authentification à deux facteurs, considérés comme une protection essentielle.
RecruitRat est notamment considéré comme plus dangereux car il intègre une bibliothèque de plus de 700 fausses interfaces de connexion. Lorsqu'il détecte qu'un utilisateur ouvre une application cible, il affiche automatiquement l'interface correspondante pour le tromper.
De plus, ces logiciels malveillants utilisent des techniques d'enregistrement de frappe pour enregistrer chaque interaction avec l'écran. Cela permet aux pirates de collecter tous les identifiants de connexion, le contenu des messages et même d'autres données sensibles.
Ils maintiennent une connexion constante avec le serveur de commande et de contrôle via WebSockets, permettant aux pirates informatiques de surveiller l'appareil en temps réel et de lancer des attaques au moment le plus opportun.
Risque accru de fraude et recommandations en matière de sécurité.
L'émergence simultanée de multiples familles de logiciels malveillants aux techniques de plus en plus sophistiquées montre que l'écosystème Android devient une cible attrayante pour les cybercriminels, notamment dans les secteurs financier et des cryptomonnaies.
D'après les experts, les utilisateurs doivent se méfier tout particulièrement des liens reçus par courriel ou SMS, surtout s'ils sont urgents ou particulièrement attrayants. Le téléchargement d'applications provenant de sources non officielles, notamment de fichiers APK, est l'une des principales causes d'infection.
De plus, les utilisateurs doivent :
- Installez uniquement des applications provenant du Google Play Store ou de sources fiables.
- Vérifiez attentivement les autorisations d'accès, en particulier les autorisations d'accessibilité.
- Ne saisissez pas vos identifiants de connexion si vous observez des signes inhabituels.
- Utilisez des solutions de sécurité mobile réputées.
Dans un contexte d'attaques de plus en plus sophistiquées, la sensibilisation et la promotion de bonnes pratiques d'utilisation restent le « bouclier » le plus efficace pour protéger les données personnelles.
