Ciblant les établissements bancaires de quatre pays européens, un malware, baptisé Xenomorph, a infecté plus de 50 000 utilisateurs.
Le phishing ou hameçonnage - vous en avez certainement entendu parlé - est une forme d'escroquerie qui consiste à récupérer sur internet vos données personnelles (mots de passe, identifiants bancaires et autres) par la tromperie, puis à les utiliser de manière malveillante, grâce notamment à des copies de sites web ou d'applications de type cheval de Troie qui vous sont proposées en téléchargement.
C'est justement une application de ce type que les chercheurs en sécurité de ThreatFabric ont pu détecté en passant au crible Google Play : un tout nouveau cheval de Troie visant spécialement les données bancaires. Le malware était diffusé sous forme d’une application utilitaire baptisée « Fast Cleaner », et faisait miroiter à ses utilisateurs une nette amélioration des performances de leur smartphone Android. Ils sont plus de 50 000 utilisateurs à avoir mordu à l'hameçon.
Baptisé « Xenomorph », en référence à Alien, le monstre extraterrestre de Ridley Scott ayant déjà donné son nom à un précédent cheval de Troie bancaire, plusieurs indices techniques semblent l'attribuer au même groupe de pirates qui se cache derrière Alien et Xenomorph.
Pour l'heure, l'application voleuse de données semble être à un stade précoce ; beaucoup de fonctions sont mentionnées dans le code en attente d'être implémentées. Toutefois, les modules les plus importants sont bien fonctionnels et entrent en action dès l’installation, notamment en demandant - comme la plupart des applications - des droits d’accessibilité ; ce qui lui permet de mettre en place des attaques par écrans de superposition. Une technique assez classique. Dès que le malware détecte l’ouverture d’une appli bancaire ciblée, elle génère un écran qui vient se superposer sur l'interface graphique, dans le but d’intercepter vos identifiants.
Ce cheval de Troie est également capable d’intercepter des SMS et des notifications, ce qui lui permet de contourner des mécanismes d’authentification forte. Pour gérer ces communications, les instructions sont reçues par des serveurs de commande et de contrôle s’appuyant pourtant sur un système parfaitement légal, en l'occurrence le projet open source Retrofit2.
Xenomorph avait pour cible 56 établissements bancaires de quatre pays européens (Espagne, Portugal, Belgique, Italie), ainsi qu’une douzaine d’applications plus générales (messageries, portefeuille crypto, etc.). Sa conception modulaire est susceptibles de se doter de davantage de fonctionnalités. Ce qui en fera un cheval de Troie encore plus redoutable.
Abdoulaye Jamil Diallo - S'informer Utile