CypherRat, une nouvelle menace dans la famille des malwares bancaires sur Android

CypherRat, une nouvelle menace dans la famille des malwares bancaires sur Android


La famille des malwares bancaires sur Android n’en finit pas de s’agrandir. Après Godfather, dont nous vous avions parlé il y a quelques semaines, un nouveau programme malveillant attire l’attention des experts en sécurité.

Selon les chercheurs de l’entreprise de cybersécurité ThreatFabric, une nouvelle variante de SpyNote, un trojan actif depuis 2016, connaît en effet un certain succès. Il s’agit de CypherRat, vendue depuis fin 2021 à des cybercriminels.

Hausse importante des attaques depuis octobre

Les chercheurs ont détecté une augmentation spectaculaire du nombre d’attaques SpyNote depuis la publication en octobre 2022 de son code source. Ces campagnes semblent viser spécifiquement les applications bancaires en ligne. Le malware usurpe en effet l’identité d’applications bancaires légitimes, comme celles des banques HSBC ou Deutsche Bank, ou se fait passer pour des applications Android populaires comme WhatsApp, Facebook et Google Play.

Ces fausses applications sont généralement distribuées par le biais de campagnes d’hameçonnage. Elles trompent des victimes potentielles en les dirigeant vers des sites web les incitant à télécharger une fausse version d’une application. Il s’agit en réalité de cette variante du malware SpyNote qui infecte alors leur téléphone Android.

« Le volume d’échantillons que nous voyons, qui est de l’ordre de centaines par semaine depuis octobre 2022, indique que les acteurs malveillants rencontrent un certain succès dans cette opération », a expliqué à ZDNet Lasha Khasaia, spécialiste en rétro-ingénierie de malwares Android chez ThreatFabric.

Contrôle de l’appareil

Après son installation, le logiciel malveillant obtient des autorisations pour utiliser les services d’accessibilité et les privilèges d’administration de l’appareil. Ce qui lui permet finalement de contrôler secrètement le smartphone tout en rendant difficile la désinstallation de l’application par les utilisateurs.

L’objectif principal de cette version de SpyNote est de voler des informations bancaires. Par exemple, il présente une fausse page de connexion à la banque et utilise un enregistreur de frappe pour espionner secrètement les noms d’utilisateur et les mots de passe saisis. Le malware exploite également les fonctions d’accessibilité pour extraire des codes d’authentification forte.

Il peut également être utilisé pour suivre les messages SMS, les appels, les vidéos et les enregistrements audio. Il peut enfin permettre l’installation de nouvelles applications, tout en ayant la capacité de suivre la localisation de l’appareil. Les chercheurs notent que si ces outils ne sont pas nécessairement liés à la fraude bancaire, ils peuvent fournir aux attaquants des informations supplémentaires sur la victime qu’ils pourraient vendre ou exploiter pour commettre d’autres fraudes.

Menace de nouvelles variantes

Il est probable que ce logiciel malveillant continuera à menacer les utilisateurs d’Android, car le code qui le sous-tend est disponible gratuitement. Il est donc possible que de nouvelles variantes apparaissent. Les smartphones occupent une place si importante dans nos vies qu’ils constituent une cible de choix pour les cybercriminels, qui peuvent accéder à des données bancaires, des noms d’utilisateur, des mots de passe et toutes sortes d’informations sensibles s’ils parviennent à compromettre un appareil.

Dans le cas de la dernière campagne SpyNote, vous pouvez éviter l’infection en ne téléchargeant des applications qu’à partir des sources officielles comme le Google Play Store. Vous devez également vous méfier des courriels inattendus qui prétendent provenir de votre banque, surtout s’ils vous demandent de vous connecter ou de télécharger une application. Il peut alors s’agir d’une attaque par hameçonnage et le message doit être supprimé.

Si vous n’êtes pas sûr de la véracité d’un message reçu, vous pouvez vérifier directement sur votre compte bancaire la réalité de l’alerte. Cependant, ne vous rendez pas sur ce site via un lien dans un e-mail, mais en consultant le site web légitime.

Source : ZDNet.com





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.