Un nouveau cheval de Troie bancaire pour Android capable de transférer automatiquement de l'argent de votre téléphone à des pirates informatiques

Habituellement, lorsqu'il s'agit de logiciels malveillants sur Android, les nouvelles découvertes s'appuient souvent sur leurs prédécesseurs. Mais ce n'est pas le cas avec un nouveau cheval de Troie bancaire pour Android, qui est actuellement très répandu en ligne. Il semble même avoir été écrit à partir de zéro, et il n'y a aucune similitude de code avec les familles de logiciels malveillants existantes.

Comme l'a rapporté The Hacker News, les chercheurs en sécurité de Threat Fabric ont nommé ce nouveau cheval de Troie bancaire RatOn, et ils l'ont découvert lors de l'enquête sur une autre souche de logiciels malveillants qui utilise la technologie de communication en champ proche ou NFC dans ses attaques pour voler des informations de paiement sans contact aux utilisateurs Android sans méfiance. La partie la plus surprenante de ce nouvel échantillon est qu'il ne s'agissait pas simplement d'une seule application malveillante, mais d'une partie d'une campagne impliquant plusieurs applications.

Après avoir analysé davantage cette nouvelle campagne, Threat Fabric a découvert que RatOn est un cheval de Troie bancaire entièrement fonctionnel doté de multiples capacités uniques. En plus de pouvoir prendre le contrôle de l'un des meilleurs téléphones Android et des comptes qui s'y trouvent, le cheval de Troie bancaire peut également effectuer des virements de fonds automatisés en plus d'utiliser des attaques de superposition personnalisées pour tromper les victimes et leur faire croire que leurs appareils sont infectés par des rançongiciels.

Voici tout ce que vous devez savoir sur cette nouvelle souche de logiciels malveillants, ainsi que quelques conseils et astuces pour protéger votre téléphone Android des chevaux de Troie bancaires qui peuvent vider complètement vos comptes financiers.

Des superpositions aux virements de fonds automatisés

Pour tenter d'inciter les victimes potentielles à installer leurs applications malveillantes, les pirates informatiques à l'origine de cette campagne ont enregistré plusieurs domaines à thème pornographique et les ont utilisés comme appât. Plus précisément, ces faux sites contenaient l'expression « TikTok18+ » dans leurs noms. Cependant, les chercheurs en sécurité de Threat Fabric n'ont pas pu déterminer comment les pirates informatiques ont réussi à attirer leurs victimes vers ces sites. Dans le passé, j'ai vu des pirates informatiques utiliser des messages d'hameçonnage, des messages aléatoires sur les médias sociaux et même des fausses publicités pour inciter les gens à cliquer sur des liens vers leurs sites malveillants.

Si quelqu'un est assez naïf pour installer une version « pour adultes » de TikTok sur son téléphone Android, ce qui sera réellement installé est un programme d'installation de logiciels malveillants ou un outil d'installation de logiciels tiers. En trompant les utilisateurs pour qu'ils autorisent l'installation d'applications provenant de sources inconnues, le programme d'installation malveillant peut contourner les protections de sécurité intégrées à Android. Ceci est utilisé pour télécharger et installer la première charge utile, après quoi une deuxième charge utile et deux autres autorisations nécessaires aux pirates informatiques qui cherchent à commettre des fraudes sur l'appareil sont demandées : l'accès aux services d'accessibilité et le privilège d'administrateur de l'appareil.

Comme d'autres chevaux de Troie bancaires, RatOn exploite les services d'accessibilité d'Android pour lancer des attaques de superposition sur un appareil infecté. Pour ceux qui ne connaissent pas ces attaques, elles impliquent que des pirates informatiques placent une superposition sur les applications bancaires et financières populaires qui correspond presque exactement à l'écran de connexion légitime. De cette façon, les pirates informatiques peuvent collecter les informations d'identification bancaires de la victime pour accéder à ses comptes à son insu, car elle pense se connecter à l'une de ses applications bancaires, financières ou de portefeuille de crypto-monnaies.

Une autre chose intéressante que les cybercriminels qui diffusent des logiciels malveillants RatOn peuvent faire est d'utiliser une superposition pour faire croire aux victimes que leurs téléphones ont été verrouillés par des pirates informatiques. Bien sûr, pour les déverrouiller, ils doivent envoyer une somme d'argent importante, tout comme lors d'une attaque de rançongiciel. Cependant, bien que leurs téléphones ne soient pas réellement infectés par un rançongiciel, ils sont piratés par le cheval de Troie bancaire RatOn.

RatOn demande également l'accès à la lecture/écriture des contacts et à la gestion des paramètres système pour mener à bien son activité malveillante. À partir de là, une troisième charge utile est téléchargée, qui est en fait le logiciel malveillant NFSkate que Threat Fabric recherchait initialement. En utilisant une technique connue sous le nom de Ghost Tap, NFSkate peut effectuer des attaques de relais NFC et voler des informations de paiement sans contact. Cependant, avec cette souche de logiciels malveillants, ces attaques doivent être menées en personne dans la portée physique d'un téléphone Android ciblé.

Maintenant, avec RatOn, ce nouveau logiciel malveillant peut effectuer des virements de fonds automatisés (ATS) en exploitant les services d'accessibilité dans Android. Cela signifie que les pirates informatiques qui diffusent ce logiciel malveillant dans leurs attaques peuvent retirer de l'argent de vos comptes bancaires depuis n'importe où dans le monde, car ils n'ont pas besoin d'être avec vous dans la même pièce.

Comment se protéger des chevaux de Troie bancaires ?

La bonne nouvelle ici est que RatOn n'est actuellement utilisé que pour cibler les utilisateurs d'Android en République tchèque. Cependant, comme pour toute souche de logiciels malveillants pour Android, cet emplacement géographique pourrait n'être qu'un terrain d'essai pour s'assurer qu'il fonctionne avant que les créateurs de logiciels malveillants ne commencent à cibler les téléphones Android dans d'autres pays comme les États-Unis ou le Royaume-Uni.

Je vais surveiller de près RatOn et la façon dont cette nouvelle souche de logiciels malveillants pour Android évolue, mais en attendant, voici quelques conseils et astuces pour vous aider à protéger votre téléphone (et votre compte bancaire) des chevaux de Troie dangereux.

Tout d'abord, vous ne devriez jamais installer d'applications Android à partir de sources non fiables. Il est toujours préférable de télécharger vos nouvelles applications à partir de magasins officiels tels que Google Play Store et Samsung Galaxy Store. Google pourrait bientôt empêcher les utilisateurs d'installer des applications à partir de sources externes dans la prochaine version d'Android, mais pour le moment, vous devriez l'éviter même si cela semble être un moyen facile d'installer de nouvelles applications sur votre téléphone.

En ce qui concerne les nouvelles applications, vous devez être très prudent lors de leur installation, car même les bonnes applications peuvent se transformer en applications malveillantes. C'est pourquoi je recommande fortement de réduire le nombre d'applications sur votre téléphone en général, et si vous constatez que vous n'avez pas utilisé une application particulière depuis longtemps, il est préférable de la supprimer.

Pour vous protéger des applications malveillantes, assurez-vous que Google Play Protect est activé sur votre téléphone. Ce programme de sécurité gratuit et intégré analyse toutes vos applications existantes, ainsi que toutes les nouvelles applications que vous téléchargez, à la recherche de logiciels malveillants ou d'autres signes d'activité malveillante. Pour une protection accrue, vous pouvez également exécuter l'une des meilleures applications antivirus pour Android à ses côtés.

Les pirates informatiques ne ralentissent pas de sitôt, et il existe constamment de nouvelles souches de logiciels malveillants et de chevaux de Troie bancaires comme RatOn auxquels vous devez faire attention.

ومع ذلك, si vous pratiquez une bonne hygiène numérique, que vous évitez de cliquer sur des liens provenant d'expéditeurs inconnus et que vous n'installez pas d'applications provenant de sources externes trouvées sur des sites moins fiables, vous devriez être en sécurité.