Une nouvelle campagne malveillante ciblant les utilisateurs d'Android via une application cheval de Troie a été détectée dans la nature. La charge utile de la campagne est le cheval de Troie Vultur qui récolte les identifiants bancaires, parmi d'autres activités malveillantes.
Le coupable, une authentification à deux facteurs malveillante (2FA) app, qui était disponible en téléchargement depuis plus de deux semaines, a été téléchargé 10,000 fois. L'application était un authentificateur 2FA entièrement fonctionnel (avec le même nom) mais il est venu avec un "bonus". Si vous avez téléchargé l'application 2FA Authenticator, vous devez le retirer immédiatement car vous êtes toujours exposé, Chercheurs Pradeo averti.
Selon le rapport de Pradeo:
L'application appelée 2FA Authenticator est un compte-gouttes utilisé pour propager des logiciels malveillants sur les appareils de ses utilisateurs. Il a été développé pour avoir l'air légitime et fournir un vrai service. Pour ce faire, ses développeurs ont utilisé le code open-source de l'application d'authentification officielle Aegis à laquelle ils ont injecté du code malveillant. Par conséquent, l'application est déguisée avec succès en outil d'authentification qui garantit qu'elle conserve un profil bas.
Cependant, la capacité la plus notable de l'application cheval de Troie est qu'elle est capable de demander des autorisations critiques qu'elle ne divulgue pas sur son profil Google Play. Grâce à ces autorisations, l'application est capable d'effectuer les activités suivantes sur un appareil Android compromis:
- Collecter et envoyer la liste des applications des utilisateurs et la localisation à ses auteurs, afin qu'ils puissent exploiter les informations pour effectuer des attaques ciblées contre des individus dans des pays spécifiques qui utilisent des applications mobiles spécifiques, au lieu de campagnes massives d'attaques non ciblées qui risqueraient de les exposer,
- Désactiver le verrouillage du clavier et toute sécurité de mot de passe associée,
- Télécharger des applications tierces sous la forme de prétendues mises à jour,
- Effectuez librement des activités même lorsque l'application est fermée,
- Superposez l'interface d'autres applications mobiles à l'aide d'une autorisation critique appelée SYSTEM_ALERT_WINDOW pour laquelle Google spécifie "Très peu d'applications devraient utiliser cette autorisation; ces fenêtres sont destinées à une interaction au niveau du système avec l'utilisateur.
Un autre cheval de Troie Android récemment révélé est le cheval de Troie BRATA. Les acteurs de la menace utilisent le cheval de Troie pour "perpétrer une fraude via des virements électroniques non autorisés". Certaines de ses capacités incluent la réinitialisation d'usine de l'appareil, Suivi GPS, en utilisant plusieurs canaux de communication (tels que HTTP et TCP), et pouvoir surveiller en permanence l'application bancaire de la victime via VNC (Virtual Network Computing) et enregistrement de frappe.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: