Un tristement célèbre cheval de Troie bancaire Android a reçu une mise à jour majeure, devenant plus dangereux – mais aussi plus cher.
Les chercheurs en cybersécurité de Cyble et ESET ont récemment découvert que la version 2.0 d’ERMAC était annoncée sur le dark web, pour un tarif d’abonnement mensuel de 5 000 $ (contre 3 000 $ par mois pour la version précédente).
La flambée des coûts d’abonnement n’est pas seulement due à l’inflation – c’est aussi à cause de la version 2.0 avec beaucoup plus de fonctionnalités. Il est désormais capable de voler les informations de connexion et autres données sensibles de 467 applications, contre 378 auparavant.
Superposer des applications légitimes
Lorsqu’une victime installe ERMAC sur son terminal, le logiciel malveillant demande des autorisations au service d’accessibilité, ce qui lui donne un contrôle total sur l’appareil. Les chercheurs ont découvert que le cheval de Troie s’accorde 43 autorisations, y compris l’accès SMS, l’accès aux contacts, la création de fenêtres d’alerte système, l’enregistrement audio et l’accès complet en lecture et écriture au stockage.
Après cela, il est capable d’imiter différentes applications et de voler des données sensibles (s’ouvre dans un nouvel onglet). Une fois qu’il obtient les autorisations nécessaires, il analyse l’appareil pour les applications installées et envoie les données à son serveur C2. Le serveur répond alors avec des modules d’injection sous forme HTML chiffrée, que le cheval de Troie déchiffre et place dans le fichier de préférences partagées sous le nom de fichier « setting.xml ». Lorsque la victime essaie de lancer une application, le cheval de Troie lance à la place une page de phishing sur l’interface de l’application réelle, récoltant ainsi les données.
Les chercheurs ont également déjà repéré ERMAC 2.0 dans la nature. Un acteur menaçant inconnu a tenté de se faire passer pour (s’ouvre dans un nouvel onglet) l’application Bold Food (un service de livraison de nourriture en Europe) et attaquent les consommateurs en Pologne.
Un faux site Web de Bolt Food a été mis en place (disparu au moment de mettre sous presse), qui a très probablement été annoncé via les médias sociaux et des e-mails de phishing.
Les fausses applications sont une arme courante dans l’arsenal des cybercriminels, c’est pourquoi il est important de ne télécharger que des applications à partir d’une source connue et légitime.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)