LCL, PayPal, BNP… : MysteryBot, le malware Android qui vise les applis bancaires

Publié par

 

Un nouveau logiciel malveillant sur Android a été détecté : il combine des fonctions de trojan, d’enregistreur de frappe et de logiciel rançonneur. Il vise particulièrement les applications bancaires.

 

Les jours passent et les logiciels malveillants se succèdent sur Android. La dernière trouvaille en date est celle de la société néerlandaise ThreatFabric, spécialisée dans la sécurité informatique. Dans une publication survenue au mois de juin, elle fait état de l’existence d’un nouveau malware, appelé MysteryBot, qui sévit sur les versions 7 et 8 du système d’exploitation mobile.

 

Selon ThreatFabric, MysteryBot est un cheval de Troie relativement classique dans ses fonctionnalités, mais qui est équipé de quelques capacités supplémentaires, comme un enregistreur de frappe pour savoir quelles touches sont actionnées par la victime — et dans quel ordre — et un logiciel rançonneur, afin de rendre inaccessibles fichiers et dossiers et ensuite exiger une rançon pour les libérer.

 

« Le processus de chiffrement place chaque fichier dans une archive ZIP individuelle protégée par mot de passe, le mot de passe est le même pour toutes les archives ZIP et est généré pendant l’exécution. Lorsque le processus de chiffrement est terminé, l’utilisateur est accueilli par une boîte de dialogue accusant la victime d’avoir regardé du matériel pornographique. », explique la société.

 

Une fois dans le smartphone, le malware peut récupérer la liste des contacts, chiffrer et effacer des documents, passer des coups de fil, faire suivre les appels entrants, envoyer des SMS à tous les contacts ou à certaines personnes bien précises, supprimer les textos ou encore remplacer l’application utilisée pour les messages. Certaines fonctions, comme la récupération des mails, semblent encore inactives.

 

Selon ThreatFabric, MysteryBot ne serait pas encore totalement fonctionnel. Certaines de ses facultés n’ont manifestement pas encore été développées C’est le cas par exemple de la fonction de déchiffrement, vraisemblablement là pour servir dans les escroqueries au logiciel rançonneur, mais aussi l’outil pour récupérer les emails ou celui permettant de lancer une application installée sur le mobile.

 

« Le code semble encore en cours de développement car il n’y a pas encore de méthode pour envoyer les historiques d’événements au serveur de commande et de contrôle. », écrit la société.

 

 

Applis des banques françaises visées

En matière d’enregistrement de frappe, il est à noter que MysteryBot s’intéresse de toute évidence aux banques.

 

De très nombreux établissements occidentaux sont visés, dont des groupes français ou présents en France : citons ING Direct, Boursorama Banque, Caisse d’Épargne, CIC, le Crédit Mutuel, La Banque Postale, La Macif, Le Crédit du Nord, PayPal, La Banque Populaire, le Crédit Agricole, le Crédit Lyonnais, la Société générale et BNP Paribas.

 

Des applications de messagerie instantanée et de courrier électronique sont aussi ciblées : Facebook, Messenger, Outlook, Skype, Viber, WhatsApp et Yahoo Mail.

 

Smartphone Android - 1

 

Pour dérober les identifiants de connexion, MysteryBot superpose un écran dupliqué sur les applications ciblées afin de leurrer la victime, qui croit les entrer sur le bon service. En réalité, elle les livre au malware, qui sait ce qui a été tapé et dans quel champ. ThreatFabric explique que l’outil détourne les permissions des applications et exploite les services d’accessibilité pour arriver à ses fins.

 

Pour ThreatFabric, si les caractéristiques de MysteryBot en font un logiciel malveillant inquiétant sur le papier, il n’est pas encore particulièrement menaçant dans les faits. D’abord parce que son développement n’est pas encore achevé, au regard de certains vides capacitaires ; ensuite, parce que sa propagation est limitée. Le risque est en outre atténué si l’usager ne vagabonde pas hors de Google Play.

 


 

Source :

https://www.threatfabric.com/blogs/mysterybot__a_new_android_banking_trojan_ready_for_android_7_and_8.html

https://www.numerama.com/tech/387020-lcl-paypal-bnp-mysterybot-le-malware-android-qui-vise-les-applis-bancaires.html

http://geeko.lesoir.be/2018/06/21/mysterybot-le-malware-qui-peut-vous-soutirer-vos-donnees-bancaires-sur-android/

5 comments

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.