Une nouvelle campagne plutôt réussie pour livrer des chevaux de Troie sur Android (s’ouvre dans un nouvel onglet) utilisateurs a été découverte par des chercheurs en cybersécurité de Threat Fabric.
Les experts avertissent que depuis que Google a mis à jour sa « politique du programme pour les développeurs », les acteurs de la menace recherchent de nouvelles façons de diffuser des logiciels malveillants via le Play Store et de rester sous le radar tout en le faisant.
Cette nouvelle campagne comprend plusieurs droppers, avec plus de 130 000 téléchargements entre eux, déployant deux chevaux de Troie connus sur les terminaux mobiles des victimes : Sharkbot et Vultur. Alors que les cibles de Sharkbot sont exclusivement des Italiens, les opérateurs de Vultur jettent un filet un peu plus large, ciblant non seulement les Italiens, mais aussi les personnes au Royaume-Uni, aux Pays-Bas, en Allemagne et en France.
Fausses mises à jour
Le mode opératoire de Sharkbot est simple : la version trouvée sur le référentiel d’applications mobiles de Google n’est pas malveillante, mais dès que l’utilisateur l’allume, elle affiche une fausse page Play Store, obligeant la victime à « mettre à jour » l’application avant de l’utiliser. « Étant donné que les victimes sont sûres de l’origine de l’application, elles installeront et exécuteront très probablement la charge utile Sharkbot téléchargée », ont conclu les chercheurs.
L’objectif de Sharkbot est de transférer de l’argent, des comptes bancaires appartenant aux victimes, aux opérateurs, via des systèmes de transfert automatique. NCC Group l’a décrit comme une « technique avancée » rarement utilisée avec les logiciels malveillants Android, qui permet aux pirates de remplir automatiquement les champs des applications bancaires mobiles légitimes.
Vultur, quant à lui, cible les applications de médias sociaux et de messagerie, les applications bancaires et les applications d’échange de crypto-monnaie.
Entre les deux, Vultur semble être le cheval de Troie le plus performant, car Threat Fabric affirme qu’il a atteint plus de 100 000 victimes potentielles de fraude au cours des derniers mois.
« La distribution via des compte-gouttes sur Google Play reste toujours le moyen le plus « abordable » et le plus évolutif d’atteindre les victimes pour la plupart des acteurs de différents niveaux », ont conclu les chercheurs.
« Alors que les tactiques sophistiquées comme la livraison d’attaques par téléphone nécessitent plus de ressources et sont difficiles à mettre à l’échelle, les droppers sur les magasins officiels et tiers permettent aux acteurs de la menace d’atteindre un large public sans méfiance avec des efforts raisonnables. »
- Résistez aux virus et aux rançongiciels avec les meilleurs outils de pare-feu disponibles
Via : Affaires de sécurité (s’ouvre dans un nouvel onglet)