Posté le septembre 28, 2021 à 19:10
UNE RECHERCHE DÉCOUVRE UN LOGICIEL MALVEILLANT QUI DÉROBE DES DONNÉES FINANCIÈRES DANS 378 APPLICATIONS ANDROID
Les smartphones sont sujets à des attaques de piratage qui sont généralement déclenchées par le téléchargement de certaines applications. Le récent rapport couvrant cette question a mis au jour un nouveau logiciel malveillant ciblant certaines applications téléchargées sur des appareils Android.
Le logiciel malveillant récent qui cible les applications bancaires et les portefeuilles sur les appareils Android est ERMAC. Ce cheval de Troie bancaire a été développé par les mêmes acteurs de la menace à qui l’on attribue le logiciel malveillant mobile BlackRock.
Le cheval de Troie bancaire Android cible les utilisateurs basés en Pologne. L’analyse médico-légale de l’outil de piratage montre également qu’il a un lien avec le logiciel malveillant Cerberus, connu pour avoir compromis plusieurs appareils.
Ciblage de 378 applications bancaires et de porte-monnaie électronique
Dans un courriel envoyé par le PDG de ThreatFabric, Cengiz Han Sahin, il a déclaré que « le nouveau cheval de Troie a déjà des campagnes de distribution actives et cible 378 applications bancaires et de portefeuille avec des superpositions. »
Les premières campagnes menées à l’aide de ce logiciel malveillant ont été détectées vers la fin du mois d’août. Le trojan ERMAC se cachait sous la forme d’une application Google Chrome, ce qui lui permettait d’infiltrer facilement les appareils des utilisateurs et d’accéder à des informations sensibles.
Cependant, les types d’attaques menées par ce logiciel malveillant ont changé au cours des dernières semaines. Le logiciel malveillant cible actuellement différentes applications liées à des secteurs tels que les banques, les solutions antivirus, les applications gouvernementales et les services de livraison.
Les données récentes montrent également que le nouveau logiciel trojan est basé sur le trojan bancaire Cerberus. Ce trojan est tristement célèbre pour avoir mené une série d’attaques sur des plateformes bancaires et de porte-monnaie, laissant les données des utilisateurs exposées à la compromission.
ThreatFabric a également déclaré que les recherches récentes sur ce logiciel malveillant ont été déclenchées par différents messages de forum publiés le 17 août par un hacker. À l’époque, ce dernier a déclaré qu’il cherchait à « louer un nouveau botnet Android doté de nombreuses fonctionnalités à un cercle restreint de personnes ». L’acteur malveillant a déclaré qu’il louerait ce botnet pour 3 000 dollars par mois.
Le message du forum a été créé par DukeEugene, qui est également soupçonné d’être à l’origine de la campagne BlackRock. Cette campagne a été découverte en juillet 2020. Elle a causé des dommages importants aux appareils compromis, car elle permettait d’accéder à des données bancaires. Parmi les caractéristiques de cette campagne figure le vol de données, et sa fonctionnalité est censée provenir d’un autre cheval de Troie bancaire appelé Xerxes.
La souche bancaire Xerxes est également attribuée au cheval de Troie bancaire Android LokiBot qui a été découvert il y a plusieurs années. En mai 2019, le créateur du cheval de Troie LokiBot a rendu public le code source utilisé pour le développer.
Cependant, les souches qui ont suivi le trojan LokiBot ont dépeint de légers ajustements qui visent à renforcer l’efficacité et la fonctionnalité. En septembre de l’année dernière, le cheval de Troie Cerberus avait son propre code source qui a été publié sous la forme d’un cheval de Troie d’accès à distance (RAT) gratuit. Ce cheval de Troie a été utilisé sur les forums de piratage du dark web après que son développeur ait échoué à le vendre pour 100 000 dollars lors d’une vente aux enchères.
ERMAC a des caractéristiques améliorées
Le rapport de ThreatFabric montre également que le cheval de Troie ERMAC est une version améliorée de la campagne BlackRock. La campagne BlackRock a été arrêtée depuis que le cheval de Troie ERMAC est entré en jeu, ce qui montre que l’acteur à l’origine de son développement a préféré ce dernier.
Dans son rapport, la société néerlandaise de cybersécurité indique que « DukeEugene a cessé d’utiliser BlackRock dans ses opérations pour se tourner vers ERMAC. » Cependant, ERMAC partage encore plusieurs similitudes avec Cerberus. L’une de ces caractéristiques est une fonction d’obfuscation qui permet au cheval de Troie de fonctionner sans être détecté.
L’autre point commun entre ERMAC et Cerberus est qu’ils utilisent tous deux le schéma de chiffrement Blowfish pour communiquer avec le serveur de commande et de contrôle, ce qui permet au cheval de Troie d’améliorer l’accès au périphérique compromis.
Le logiciel malveillant ERMAC a été créé dans le but de voler des données sur l’appareil compromis. Parmi les détails que ce logiciel malveillant cherche à voler, citons les messages texte, l’ouverture d’applications arbitraires et le déclenchement d’une série d’attaques par superposition qui permettent au cheval de Troie de modifier les identifiants de connexion à différentes applications financières.
Le logiciel malveillant ERMAC a également été doté de nouvelles fonctionnalités, qui lui permettent de vider le cache d’une application donnée et de voler les informations d’identification stockées sur cet appareil.
Dans son rapport, ThreatFabric note également que « l’histoire d’ERMAC montre une fois de plus comment les fuites de code source de logiciels malveillants peuvent non seulement entraîner une lente évaporation de la famille de logiciels malveillants, mais aussi amener de nouvelles menaces/acteurs malveillants dans le paysage des menaces. Bien qu’il manque de certaines fonctionnalités puissantes comme le RAT, il reste une menace pour les utilisateurs de services bancaires mobiles et les institutions financières du monde entier. »
