Posté le novembre 17, 2021 à 16:04
DES CHERCHEURS DÉCOUVRENT UN CHEVAL DE TROIE BANCAIRE QUI PEUT DÉROBER LES COMPTES DES UTILISATEURS
Des chercheurs ont découvert un nouveau cheval de Troie bancaire Android qui permet aux hackers de voler des données bancaires sensibles. Selon le rapport, les hackers peuvent utiliser le cheval de Troie, connu sous le nom de SharkBot, pour voler des informations telles que le solde actuel de l’utilisateur, ses informations d’identification et d’autres informations personnelles.
Les hackers trouvent de nouveaux moyens pour contourner la sécurité
Le cheval de Troie est une autre indication du niveau de sérieux des hackers lorsqu’ils conçoivent des méthodes d’attaque. Ceci montre que les hackers trouvent rapidement de nouveaux moyens de contourner les mesures de détection comportementale et de réaliser des fraudes. Les chercheurs ont déclaré que le cheval de Troie SharkBot est suffisamment puissant pour contourner les multiples contre-mesures mises en place par les banques et les institutions financières.
Les chevaux de Troie bancaires sont spécifiquement conçus dans le but de récolter des informations d’identification et d’autres informations personnelles et financières vitales. Cependant, le SharkBot a d’autres caractéristiques que celles d’un simple cheval de Troie bancaire. Selon les chercheurs, le cheval de Troie utilise une méthode de système de transfert automatique (ATS) qui automatise le processus de vol des fonds des utilisateurs à partir de leurs comptes.
La fonction ATS permet aux hackers de remplir automatiquement les détails du compte à partir de l’appareil infecté pour faciliter les transferts d’argent frauduleux. Le cheval de Troie utilise cette méthode pour contourner l’authentification multifactorielle (MFA), les contrôles biométriques et les analyses comportementales.
Le cheval de Troie a besoin du service d’accessibilité Android
La bonne nouvelle est que Sharkbot ne peut pas être installé via Google Play Store. Le niveau de pénétration des hackers est donc un peu faible puisqu’ils doivent convaincre les utilisateurs de télécharger l’application depuis la boutique d’applications.
Ils peuvent aussi demander aux utilisateurs de charger l’application en mode sideload. Cette méthode consiste à installer une application sur un appareil en copiant l’installateur APK sur l’appareil et en l’installant manuellement. La plupart des appareils n’autorisent le chargement latéral d’une application que si l’utilisateur dispose d’un accès root sur le téléphone. Dans ce cas, de nombreux utilisateurs préfèrent ne pas installer l’application plutôt que de risquer de perdre des fonctions sur leur téléphone.
Cependant, les applications de ce type ne sont pas proposées directement au téléchargement. Elles se font plutôt passer pour des applications de récupération de données, de télévision en direct ou de lecteur multimédia.
Un autre point positif pour les utilisateurs en ce qui concerne la puissance du cheval de Troie est le niveau d’accès qu’il requiert. Les chercheurs ont déclaré que le cheval de Troie nécessite un accès au service d’accessibilité d’Android pour utiliser l’ATS. Ainsi, dès que le cheval de Troie est installé, le logiciel malveillant demande immédiatement l’autorisation au service accessibilité Android. Cette fonctionnalité est disponible pour les utilisateurs souffrant de déficience visuelle afin de leur permettre d’automatiser certaines tâches lors de l’utilisation de leurs appareils.
Les hackers utilisent des attaques par superposition pour tromper les utilisateurs
Une fois l’autorisation accordée, SharkBot utilise l’accès pour effectuer certaines tâches telles que des attaques par superposition sur plusieurs applications afin de voler les détails des cartes de crédit et les identifiants de connexion.
Les attaques par superposition sont conçues pour tromper les utilisateurs et leur faire croire qu’une fonctionnalité du système nécessite une attention particulière ou est menacée.
Cela permet aux acteurs de la menace de convaincre la victime de cliquer « à travers » les popups inoffensives. Le service d’accessibilité d’Android donne également au cheval de Troie la possibilité de contourner le composant « doze » d’Android, de prendre le contrôle total à distance d’un appareil Android et d’enregistrer les frappes au clavier.
Une fois que l’utilisateur a cliqué sur le pop-up sur son écran, l’accès à l’installation de l’application malveillante est accordé à son insu.
Malheureusement, aucune icône ne s’affiche sur l’appareil lorsque l’application malveillante est installée avec succès. Cela signifie que l’application est capable de rester cachée dans le système et d’effectuer toutes sortes d’activités pendant une longue période sans être détectée.
Selon les chercheurs qui ont analysé les échantillons malveillants, les hackers ont plus de 22 cibles différentes. Il s’agit notamment d’organisations en Italie, au Royaume-Uni, aux États-Unis, de banques internationales et de cinq services de crypto-monnaies différents. Selon les chercheurs, l’application pourrait étendre sa cible à d’autres pays et organisations, car elle semble en être à ses débuts.
On sait également que SharkBot utilise différentes méthodes de détection, dont un format modulaire, l’utilisation d’un anti-émulateur, ainsi que des techniques d’obscurcissement.
Pour la stratégie anti-émulateur, le cheval de Troie vérifie si le dispositif hôte est un vrai téléphone ou un émulateur. Mais avant ce processus, le logiciel malveillant cache toutes les informations et commandes importantes qui peuvent révéler la présence ou l’identité du cheval de Troie. La technique d’obscurcissement est utilisée pour garder le cheval de Troie sous le radar pendant qu’il explore toutes les zones du dispositif.
