Tero Vesalainen/Shutterstock.com
Les pirates informatiques, malheureusement, proposent toujours de nouvelles façons astucieuses de voler ou d’accéder à des informations sécurisées. Certains malware Android récemment détectés , surnommé Vultur, utilise une nouvelle méthode effrontée pour collecter les identifiants de connexion pour plus de 100 applications bancaires et cryptographiques.
Le malware cheval de Troie d’accès à distance (RAT), Vultur, tire son nom de la société de sécurité basée à Amsterdam ThreatFabric. Il utilise une véritable implémentation de partage d’écran VNC pour enregistrer l’écran d’un appareil, le journal des touches et tout refléter sur le serveur de l’attaquant. Les utilisateurs saisissent sans le savoir leurs informations d’identification dans ce qu’ils pensent être une application de confiance et les attaquants collectent ensuite les informations, se connectent aux applications sur un appareil distinct et retirent l’argent.
Cette méthode d’enregistrement d’écran est différente des précédents chevaux de Troie bancaires Android, qui reposaient sur une stratégie de superposition HTML. Vulture s’appuie également fortement sur l’abus des services d’accessibilité sur le système d’exploitation de l’appareil pour obtenir les autorisations nécessaires qui lui permettront d’accéder à ce dont il a besoin pour exécuter avec succès la collecte des informations d’identification.
Dans le rapport de ThreatFabric, nous avons appris que les acteurs de la menace ont pu collecter une liste des applications que Vulture ciblait, qui ont été diffusées via le Google Play Store. L’Italie, l’Espagne et l’Australie étaient les régions qui comptaient le plus grand nombre d’établissements bancaires touchés par Vultur. Plusieurs portefeuilles cryptographiques ont également été ciblés.
« Les menaces bancaires sur la plate-forme mobile ne sont plus uniquement basées sur des attaques par superposition bien connues, mais évoluent vers des logiciels malveillants de type RAT, héritant d’astuces utiles telles que la détection d’applications de premier plan pour démarrer l’enregistrement d’écran », ont écrit les chercheurs de ThreatFabric.”Cela porte la menace à un autre niveau, car de telles fonctionnalités ouvrent la porte à la fraude sur l’appareil, contournant la détection basée sur les MO de phishing qui nécessitent une fraude effectuée à partir d’un nouvel appareil. Avec Vultur, une fraude peut se produire sur l’appareil infecté de la victime. Ces attaques sont évolutives et automatisées car les actions pour effectuer une fraude peuvent être scriptées sur le backend du malware et envoyées sous forme de commandes séquencées. »
Si l’utilisateur télécharge et ouvre l’une des applications que Vulture est ciblage, le cheval de Troie lance alors la session d’enregistrement d’écran. Les utilisateurs qui saisissent et essaient de supprimer l’application malveillante découvriront rapidement qu’ils ne le peuvent pas-un bot dans le logiciel malveillant clique automatiquement sur le bouton de retour et renvoie l’utilisateur à l’écran principal des paramètres.
Le seul avantage des utilisateurs est de prêter attention au panneau de notification, qui montrera qu’une application appelée”Protection Guard”projette l’écran. Pour un article plus détaillé sur Vultur, nous vous recommandons de lire le rapport de ThreatFabric. Sinon, n’oubliez pas de télécharger uniquement les applications de confiance.
via Ars Technica
