Apps & Logiciels

BankBot : un malware trouvé dans plusieurs applications Android qui cible les comptes bancaires des utilisateurs

Par

le

Une nouvelle version du malware BankBot cachée à l’intérieur de plusieurs applications Android cible les comptes bancaires des utilisateurs.

Une nouvelle version d’un malware de banking a de nouveau été détectée sur le Play Store. Sa méthode d’attaque consiste à se cacher dans des applications pour voler les informations bancaires de l’utilisateur.

Avast a uni ses forces avec ESET et SfyLabs pour étudier une nouvelle version du malware appelée BankBot. Le cheval de Troie a déjà été découvert dans de nombreuses applications dans Google Play cette année, mais selon leur recherche, il a retrouvé son chemin vers le Play Store en se cachant dans des applications lampe de poche.

L’étude mentionne que Google supprime les versions antérieures des applications infectées par BankBot, mais précise que plusieurs autres ont été actives jusqu’au 17 novembre, « assez longtemps pour que les applications infectent des milliers d’utilisateurs ». Nikolaos Chrysaidos, écrivant pour le blog Avast, explique comment la nouvelle version infecte l’appareil de l’utilisateur et vole ses informations bancaires.

Apparu pour la première fois dans des applications telles que « Tornado FlashLight », « Lamp For DarkNess » et « Sea FlashLight », le logiciel malveillant analyse le téléphone une fois installé. Il scanne ensuite l’appareil à la recherche de l’une des applications incluses dans une «liste SHA1 précalculée et codée de 160 applications mobiles». Dès que BankBot identifie au moins l’une de ces applications, il tente ensuite de télécharger une autre application à partir d’un serveur Web.

Le service frauduleux incite l’utilisateur à lui fournir des droits d’administrateur pour l’application. Il attendra alors deux heures de plus avant sa prochaine étape, ce qui, selon Avast, est un moyen d’échapper aux vérifications effectuées par Google.

Après avoir incité l’utilisateur à installer un fichier APK et à lui accorder des droits d’administrateur, il passera à l’étape suivante. Selon le blog, « lorsque l’utilisateur ouvre l’une des applications bancaires susmentionnées, l’application supprimée est activée et crée une superposition sur l’application authentique ». Ci-dessous une vidéo montrant comment la superposition apparaît rapidement dès qu’ils ouvrent l’application Czech Airbank.

Bien sûr, dès que les utilisateurs entrent leurs informations bancaires, les détails sont envoyés aux cybercriminels. Même si le propriétaire a activé l’authentification à deux facteurs, BankBot peut également déclencher une fonctionnalité qui lui permet de voler des SMS.

Le blog note que le cheval de Troie bancaire est inactif en Russie, en Ukraine et en Biélorussie. « Cela est le plus susceptible de protéger les cybercriminels de recevoir une attention non désirée de la part des autorités répressives de ces pays », lit-on dans le communiqué.

Cette nouvelle version du malware BankBot arrive après la découverte d’une série de malwares dans Google Play. La semaine dernière, Malwarebytes a analysé une nouvelle variante d’un malware Android (Android/Trojan.AsiaHitGroup) qui cible les utilisateurs en fonction de leur lieu de résidence.

Articles recommandés