Un nouveau cheval de Troie vient d’être identifié sur les appareils équipés d’Android par des chercheurs en sécurité. Ces derniers ont expliqué ce lundi qu’une fois qu’il est installé avec succès dans l’appareil de la victime, des cybercriminels peuvent obtenir un flux en direct de l’écran de l’appareil, et également interagir avec lui via ses services d’accessibilité.
Ce malware, surnommé “Teabot” par les chercheurs en sécurité de Cleafy, a été utilisé pour détourner les informations d’identification des utilisateurs et leurs SMS, afin de faciliter des activités frauduleuses contre les services de banque mobile en Espagne, en Allemagne, en Italie, en Belgique et aux Pays-Bas.
L’équipe Threat Intelligence and Incident Response de Cleafy a découvert le cheval de Troie bancaire en janvier. Elle a constaté qu’il permettait de frauder plus de 60 banques en Europe. Le 29 mars, les analystes de Cleafy ont découvert que le cheval de Troie était utilisé contre des banques italiennes et, en mai, que des banques en Belgique et aux Pays-Bas y étaient également confrontées.
La France également touchée
Les recherches montrent que Teabot est toujours en cours de développement, mais qu’il s’est d’abord concentré sur les banques espagnoles, avant de s’attaquer aux banques allemandes et italiennes.
Le logiciel malveillant prend actuellement en charge six langues différentes, dont le français, l’espagnol, l’anglais, l’italien, l’allemand et le néerlandais. L’application s’appelait initialement TeaTV, avant de changer de titre à plusieurs reprises pour adopter les noms de “VLC MediaPlayer”, “Mobdro”, “DHL”, “UPS” et “bpost”.
« Lorsque l’application malveillante a été téléchargée sur l’appareil, elle tente d’être installée en tant que “Service Android”, qui est un composant d’application pouvant effectuer des opérations de longue durée en arrière-plan. TeaBot abuse de cette fonctionnalité pour se cacher silencieusement de l’utilisateur, une fois installée, empêchant également sa détection et assurant sa persistance », indique le rapport des chercheurs de Cleafy.
Des tactiques vieilles comme le monde
Une fois que TeaBot est installée, elle demande les autorisations Android pour observer vos actions, récupérer le contenu des fenêtres et effectuer des gestes arbitraires. Lorsque les permissions sont accordées, l’application retire son icône de l’appareil, selon l’étude de Cleafy.
Pour Saumitra Das, directeur technique de la société de cybersécurité Blue Hexagon, Teabot représente un changement dans les logiciels malveillants mobiles, qui passent d’un problème secondaire à un problème courant, tout comme les logiciels malveillants sur les points d’extrémité traditionnels. « Les cyberattaquants réalisent le véritable potentiel des appareils mobiles et la menace qu’ils peuvent représenter pour l’utilisateur final », explique le chercheur.
« Il est important de se rappeler que, même si les applications ne sont pas sur Google Play, les tactiques d’hameçonnage et d’ingénierie sociale utilisées par les acteurs derrière Teabot/Flubot sont aussi efficaces que n’importe quelle famille de menaces sur PC. Ces menaces ne doivent pas être sous-estimées. »
Pour lire l’article original: https://www.zdnet.fr/actualites/android-un-nouveau-malware-cible-les-applications-bancaires-dans-toute-l-europe-39922527.htm