Des applications dites « zombies » se propagent sur les smartphones Android. D’après ThreatFabric, les pirates utilisent un programme malveillant pour cacher un malware dans le code d’applications populaires. Celui-ci s’empare ensuite de données sensibles…
Les chercheurs en sécurité informatique de ThreatFabric ont découvert un malware Android intitulé Ermac sur la toile. Le virus est conçu pour s’emparer des données personnelles des utilisateurs et voler l’argent de ses victimes. Il vise une pléthore d’applications bancaires, dont la Banque postale ou ING, et des applications destinées à l’échange ou au stockage de cryptomonnaies, comme Binance ou Crypto.com.
Concrètement, Ermac est capable d’enregistrer tous les mots tapés sur le clavier virtuel, d’intercepter des mails via l’application Gmail, de voler des codes d’authentification à double facteur et de s’emparer des phrases de récupération d’un wallet numérique. En clair, le virus est conçu pour siphonner l’argent des internautes à leur insu, qu’il s’agisse de monnaies fiduciaires ou de cryptomonnaies.
Pour propager le virus, les pirates ont notamment déployé de fausses demandes d’autorisation Wi-Fi par le biais de sites web frauduleux. Ces demandes aboutissent à l’installation d’un fichier contenant le code du malware Ermac. Une fois sur le smartphone des victimes, le maliciel est libre de s’emparer des données sensibles dans son viseur.
À lire aussi : téléchargées 2 millions de fois sur le Play Store, ces applications Android cachaient des malwares
Des applications Android empoisonnées
Dans certains cas, les pirates ont caché le code du malware Ermac dans une application en apparence inoffensive et légitime. Cette application est conçue pour installer le malware à l’insu des usagers. D’après l’enquête de ThreatFabric, les cybercriminels utilisent un logiciel appelé Zombinder pour infecter des applications populaires, comme Instagram, WiFi Auto Authenticator ou encore Football Live Streaming.
Disponible sur le dark web, ce programme permet aux escrocs d’ajouter du code malveillant facilement à n’importe quelle application. Zombinder reprend le code source de l’app en y cachant un compte-goutte (ou dropper). Cette fonctionnalité cachée oblige l’application à installer un malware à distance sans l’accord du propriétaire du smartphone. Pour endormir la méfiance des victimes, l’application fonctionnera normalement pendant toute l’opération. En effet, l’essentiel du code n’est pas altéré par Zombinder.
« Un tel processus est réalisé en “collant” une charge utile malveillante masquée sur une application légitime avec des mises à jour mineures effectuées sur le code source d’origine », explique ThreatFabric dans son rapport.
Ces applications vérolées sont des applications dites «zombies », soulignent les chercheurs. Une fois infectées, elles propagent un virus sur la toile, à la manière d’un mort-vivant dans un film de zombies. L’enquête précise que plusieurs groupes de pirates utilisent Zombinder pour cacher des logiciels malveillants. Le programme, très populaire au sein des criminels visant Android, a notamment été exploité lors de l’attaque du virus Xenomorph. Ce malware est réservé au vol de coordonnées bancaires.
Par mesure de sécurité, on vous recommande d’éviter d’installer des applications en dehors d’une boutique officielle, comme le Google Play Store. Évitez d’installer une application dénichée sur un site web inconnu ou proposée par une publicité sur mobile. C’est souvent de cette manière que les pirates propagent leurs applications vérolées.
Source :
ThreatFabric