Name: Tremplin Numérique
Price range: $$$

Tero Vesalainen/Shutterstock.com

Les pirates informatiques, malheureusement, proposent toujours de nouvelles façons intelligentes de voler ou d’accéder à des informations sécurisées. Certains Malware Android récemment détecté, surnommé Vultur, utilise une nouvelle méthode effrontée pour collecter les informations de connexion pour plus de 100 applications bancaires et cryptographiques.

Vultur, le malware cheval de Troie d’accès à distance (RAT), tire son nom de la société de sécurité ThreatFabric basée à Amsterdam. Il utilise une véritable implémentation de partage d’écran VNC pour enregistrer l’écran d’un appareil, le journal des touches et tout refléter sur le serveur de l’attaquant. Les utilisateurs entrent sans le savoir leurs informations d’identification dans ce qu’ils pensent être une application de confiance et les attaquants collectent ensuite les informations, se connectent aux applications sur un appareil distinct et retirent l’argent.

Cette méthode d’enregistrement d’écran est différente des précédents chevaux de Troie bancaires Android, qui reposaient sur une stratégie de superposition HTML. Vulture s’appuie également fortement sur l’abus des services d’accessibilité sur le système d’exploitation de l’appareil pour obtenir les autorisations nécessaires qui lui permettront d’accéder à ce dont il a besoin pour exécuter avec succès la collecte des informations d’identification.

Protection des informations dans les appareils mobiles, piratage des appareils mobiles par des pirates — 512r/Shutterstock.com

Dans le rapport de ThreatFabric, nous avons appris que les acteurs de la menace ont pu collecter une liste des applications que Vulture ciblait, qui ont été diffusées via le Google Play Store. L’Italie, l’Espagne et l’Australie étaient les régions qui comptaient le plus grand nombre d’établissements bancaires touchés par Vultur. Plusieurs portefeuilles cryptographiques ont également été ciblés.

« Les menaces bancaires sur la plate-forme mobile ne sont plus uniquement basées sur des attaques par superposition bien connues, mais évoluent vers des logiciels malveillants de type RAT, héritant d’astuces utiles telles que la détection d’applications de premier plan pour démarrer l’enregistrement d’écran », ont écrit les chercheurs de ThreatFabric. « Cela porte la menace à un autre niveau, car de telles fonctionnalités ouvrent la porte à la fraude sur l’appareil, contournant la détection basée sur les MO de phishing qui nécessitent une fraude effectuée à partir d’un nouvel appareil. Avec Vultur, une fraude peut se produire sur l’appareil infecté de la victime. Ces attaques sont évolutives et automatisées car les actions pour effectuer une fraude peuvent être scriptées sur le backend du malware et envoyées sous forme de commandes séquencées.

Si l’utilisateur télécharge et ouvre l’une des applications ciblées par Vulture, le cheval de Troie lance alors la session d’enregistrement d’écran. Les utilisateurs qui attrapent et essaient de supprimer l’application malveillante découvriront rapidement qu’ils ne le peuvent pas : un bot dans le logiciel malveillant clique automatiquement sur le bouton de retour et renvoie l’utilisateur à l’écran principal des paramètres.

Le seul avantage des utilisateurs est de faire attention au panneau de notification, qui montrera qu’une application appelée « Protection Guard » projette l’écran. Pour un article plus détaillé sur Vultur, nous vous recommandons de lire Rapport de ThreatFabric. Sinon, n’oubliez pas de télécharger uniquement des applications de confiance.

passant par Ars Technica