Une nouvelle variante de malware Android a été découverte, capable de se cacher des programmes antivirus, de voler des données sensibles et même de déployer des ransomwares (s’ouvre dans un nouvel onglet) sur les endpoints infectés.
Les experts en cybersécurité de l’équipe de recherche Threat Intelligence de CloudSEK ont découvert le malware, qu’ils ont surnommé « Daam ».
Le malware communiquait avec « divers fichiers APK Android », ont déclaré les chercheurs, suggérant qu’il s’agissait d’une « source probable d’infection ».
Enregistrement des appels
Une fois déployé sur un appareil, le logiciel malveillant tentera d’abord de contourner les contrôles de sécurité sur une gamme de marques mobiles. S’il parvient à se cacher des programmes antivirus, il essaiera d’obtenir des autorisations très sensibles, telles que la possibilité d’enregistrer de l’audio, de lire des signets d’historique, de tuer les processus d’arrière-plan et de lire les journaux d’appels.
Le logiciel malveillant est également capable d’enregistrer tous les appels en cours, qu’ils soient cellulaires ou VoIP, et de les transmettre ultérieurement au serveur de commande et de contrôle (C2). Daam est également capable de voler les contacts de l’appareil de la victime, ainsi que de voler les contacts nouvellement ajoutés.
En d’autres termes, même vos appels WhatsApp ne seraient pas à l’abri des écoutes clandestines et les fichiers que vous stockez sur votre appareil mobile pourraient être volés.
Pour aggraver les choses, il a également été observé que le malware avait des capacités de ransomware. Les chercheurs disent que Daam est capable de crypter les fichiers sur l’appareil en utilisant les algorithmes AES présents dans le répertoire racine et la carte SD. Il dépose également un fichier « readme_now.txt » – très probablement une demande de rançon.
Après le cryptage, tous les autres fichiers sont supprimés du stockage local, ne laissant que les fichiers cryptés avec une extension .enc sur l’appareil.
Le malware est distribué via des sites Web tiers, a déclaré le chercheur, trouvant un total de trois applications en circulation : Psiphon Client pour Android et Windows – un logiciel de contournement pour Windows et Android qui contourne les paywalls et autres contenus censurés ; Boulders – un jeu mobile ; et Currency Pro – un convertisseur de devises.
Comme d’habitude, pour rester en sécurité, assurez-vous de télécharger des applications uniquement à partir de sources légitimes et de vérifier les avis et les commentaires des utilisateurs avant de télécharger quoi que ce soit.