Un nouveau cheval de Troie, surnommé Sturnus, s’attaque aux smartphones Android en Europe. Ce malware sophistiqué vise à voler identifiants bancaires et données sensibles via de fausses applications. Il est capable de surveiller l’écran ou d’intercepter les messages privés sur WhatsApp ou Signal.
Un nouveau cheval de Troie s’est lancé à l’assaut des smartphones Android. Découvert par les chercheurs de ThreatFabric, le malware a été baptisé Sturnus. Le logiciel malveillant est conçu pour commettre des fraudes financières ciblées, en particulier en Europe. Dans ce but, il va tout faire pour s’emparer des identifiants bancaires et des informations sensibles des utilisateurs.
À lire aussi : Ce nouveau malware écrit et clique comme un humain pour passer inaperçu
Un virus qui surveille le contenu de votre écran
Surtout, Sturnus va utiliser une technique classique des chevaux de Troie bancaires. Le virus affiche de fausses pages qui imitent parfaitement l’interface des vraies applications bancaires. Ces pages sont superposées sur les véritables applications bancaires installées par l’utilisateur. Quand la victime ouvre son application, Sturnus affiche une page HTML factice pour subtiliser ses identifiants, ses codes ou ses mots de passe.
Sturnus va encore plus loin. Il intègre un module de prise en main à distance qui fonctionne comme un logiciel de téléassistance. Le cybercriminel recense ainsi tout ce qui est affiché à l’écran, les mots de passe, la liste des applications installées, et les données sensibles. Par le biais du virus installé, le pirate peut naviguer sur le smartphone et cliquer sur des éléments de l’interface.
De cette façon, il est aussi capable d’intercepter des messages échangés sur des messageries instantanées, comme Signal, WhatsApp et Telegram. Le malware est en mesure de récupérer les messages reçus et envoyés, les noms des contacts et les fils de discussion en temps réel, à l’insu de l’utilisateur. Bref, c’est un véritable pillage de données personnelles. Sturnus est « une menace sérieuse pour la sécurité financière et la vie privée des victimes ».
C’est une « fonctionnalité particulièrement dangereuse », indique ThreatFabric. Les chercheurs soulignent que le virus contourne complètement « le chiffrement de bout en bout en accédant aux messages après leur déchiffrement par l’application légitime, donnant ainsi à l’attaquant une vue directe sur des conversations censées être privées ». En dépit du protocole de chiffrement utilisé par Signal, WhatsApp et Telegram, le maliciel espionne sans difficulté toutes les conversations.
À lire aussi : Un malware furtif cherche à prendre le contrôle des sites WordPress
De fausses applications Google Chrome
Pour pénétrer sur le smartphone de ses victimes, les pirates ont glissé le virus dans des fichiers APK partagés en ligne. Le code de Sturnus a surtout été incorporé dans de fausses applications Google Chrome. Selon toute vraisemblance, les applications sont mises en avant dans des publicités malveillantes ou échangées via des messages directs.
Les chercheurs précisent que Sturnus est encore au stade préliminaire de son développement. Pour le moment, le virus n’a été déployé qu’à petite échelle, vraisemblablement pour faire des tests. Il est possible que des campagnes de plus grande envergure, notamment en Europe, soient à l’ordre du jour dans un avenir proche.
Comme toujours, on vous recommande d’éviter de télécharger des APK inconnus dénichés sur Internet. Trop souvent, les pirates exploitent ces fichiers APK pour tenter d’infecter votre smartphone. Par sécurité, contentez-vous des applications disponibles sur une boutique officielle, comme le Play Store.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.