ANDROID – Un nouveau virus qui vole les données bancaires

0
1018

Les chercheurs ont repéré un nouveau cheval de Troie bancaire Android appelé BlackRock qui vole les données d’identification et de carte de crédit de centaines d’applications.

Les experts en sécurité de ThreatFabric ont découvert un nouveau cheval de Troie bancaire Android appelé BlackRock qui vole les informations d’identification et les données de cartes de crédit d’une liste de 337 applications.

Le malware BlackRock emprunte le code du malware bancaire Xerxes, qui est une souche du célèbre cheval de Troie LokiBot Android.

Le code source du malware Xerxes a fait l’objet d’une fuite en ligne vers mai 2019.

Contrairement aux autres chevaux de Troie bancaires, BlackRock cible plusieurs applications Android non financières, dont la plupart sont des plateformes sociales, de communication et de rencontre.

L’un des différentiateurs intéressants de BlackRock est sa liste de cibles, elle contient un nombre important d’applications sociales, de réseautage, de communication et de rencontre. Jusqu’à présent, beaucoup de ces applications n’ont pas été observées dans les listes de cibles pour d’autres chevaux de Troie bancaires existants”, peut-on lire dans le post publié par ThreatFabric. “Il semble donc que les acteurs derrière BlackRock tentent d’abuser de la croissance de la socialisation en ligne qui a augmenté rapidement ces derniers mois en raison de la situation de pandémie.

Le malware BlackRock se présente comme une fausse mise à jour de Google : il se camoufle sous le nom de Google Update.

A lire  Sur Windows 10 version 2004 le navigateur Edge consomme 27% de mémoire en moins que Chrome

Au lancement du malware sur l’appareil mobile, il commence par cacher son icône dans le tiroir des applications, puis il demande à la victime les privilèges du service d’accessibilité.

Une fois que l’utilisateur accorde le privilège demandé pour le service d’accessibilité, BlackRock commence par s’accorder des autorisations supplémentaires. Ces autorisations supplémentaires sont nécessaires pour que le bot puisse fonctionner pleinement sans avoir à interagir davantage avec la victime. Une fois cela fait, le bot est fonctionnel et prêt à recevoir des commandes du serveur C2 et à effectuer les attaques par superposition.

Le code malveillant prend en charge plusieurs commandes, il peut lancer des attaques par superposition, enregistrer les frappes au clavier, envoyer du spam aux listes de contacts des victimes par SMS et empêcher les victimes d’utiliser un logiciel antivirus.

A lire  On peut maintenant insérer des images d'arrière plan dans Google Docs

Les experts ont remarqué que le cheval de Troie Xerxes lui-même met en œuvre davantage de fonctionnalités car les auteurs du malware BlackRock ont supprimé celles qui ne sont pas utiles pour voler des informations personnelles.

Contrairement à d’autres logiciels malveillants Android, BlackRock utilise les profils de travail Android, qui sont utilisés par les entreprises pour définir un contrôleur de politiques d’appareils (DPC) afin de contrôler et d’appliquer des politiques sur leur flotte de mobiles. Cette fonction permet de contrôler plusieurs aspects d’un appareil sans avoir de droits d’administration complets sur ceux-ci.

Le malware cible 226 applications pour voler les identifiants des comptes, dont Gmail, les services Google Play, Uber, Amazon, Netflix et Outlook.

A lire  Google lance discrètement un rival de Pinterest alimenté par l'IA, nommé Keen

La liste des applications ciblées comprend des applications cryptographiques de portefeuille de devises (par exemple Coinbase, BitPay et Coinbase) et des banques (par exemple Santander, Barclays, Lloyds, ING et Wells Fargo).

La seconde moitié de 2020 va nous réserver des surprises, après Alien, Eventbot et BlackRock, nous pouvons nous attendre à ce que les acteurs de la menace financière construisent de nouveaux chevaux de Troie bancaires et continuent d’améliorer ceux qui existent déjà.
Avec les changements que nous prévoyons d’apporter aux chevaux de Troie bancaires mobiles, la frontière entre les logiciels malveillants bancaires et les logiciels espions s’amincit, les logiciels malveillants bancaires représenteront une menace pour davantage d’organisations et leur infrastructure, un changement organique que nous avons observé sur les logiciels malveillants bancaires Windows il y a des années.

Laisser un commentaire

Please enter your comment!
Please enter your name here