Un nouveau logiciel malveillant sur Android a été détecté : il combine des fonctions de trojan, d’enregistreur de frappe et de logiciel rançonneur. Il vise particulièrement les applications bancaires.

Les jours passent et les logiciels malveillants se succèdent sur Android. La dernière trouvaille en date est celle de la société néerlandaise ThreatFabric, spécialisée dans la sécurité informatique. Dans une publication survenue au mois de juin, elle fait état de l’existence d’un nouveau malware, appelé MysteryBot, qui sévit sur les versions 7 et 8 du système d’exploitation mobile.

bnp-paribas

CC Laurent Vincenti

Selon ThreatFabric, MysteryBot est un cheval de Troie relativement classique dans ses fonctionnalités, mais qui est équipé de quelques capacités supplémentaires, comme un enregistreur de frappe pour savoir quelles touches sont actionnées par la victime — et dans quel ordre — et un logiciel rançonneur, afin de rendre inaccessibles fichiers et dossiers et ensuite exiger une rançon pour les libérer.

« Le processus de chiffrement place chaque fichier dans une archive ZIP individuelle protégée par mot de passe, le mot de passe est le même pour toutes les archives ZIP et est généré pendant l’exécution. Lorsque le processus de chiffrement est terminé, l’utilisateur est accueilli par une boîte de dialogue accusant la victime d’avoir regardé du matériel pornographique », explique la société.

Une fois dans le smartphone, le malware peut récupérer la liste des contacts, chiffrer et effacer des documents, passer des coups de fil, faire suivre les appels entrants, envoyer des SMS à tous les contacts ou à certaines personnes bien précises, supprimer les textos ou encore remplacer l’application utilisée pour les messages. Certaines fonctions, comme la récupération des mails, semblent encore inactives.

« Le code semble encore en cours de développement »

Selon ThreatFabric, MysteryBot ne serait pas encore totalement fonctionnel. Certaines de ses facultés n’ont manifestement pas encore été développées C’est le cas par exemple de la fonction de déchiffrement, vraisemblablement là pour servir dans les escroqueries au logiciel rançonneur, mais aussi l’outil pour récupérer les emails ou celui permettant de lancer une application installée sur le mobile.

« Le code semble encore en cours de développement car il n’y a pas encore de méthode pour envoyer les historiques d’événements au serveur de commande et de contrôle », écrit la société.

Applis des banques françaises visées

En matière d’enregistrement de frappe, il est à noter que MysteryBot s’intéresse de toute évidence aux banques.

De très nombreux établissements occidentaux sont visés, dont des groupes français ou présents en France : citons ING Direct, Boursorama Banque, Caisse d’Épargne, CIC, le Crédit Mutuel, La Banque Postale, La Macif, Le Crédit du Nord, PayPal, La Banque Populaire, le Crédit Agricole, le Crédit Lyonnais, la Société générale et BNP Paribas.

Des applications de messagerie instantanée et de courrier électronique sont aussi ciblées : Facebook, Messenger, Outlook, Skype, Viber, WhatsApp et Yahoo Mail.

smartphone-android-wide

CC Aaron Yoo

Pour dérober les identifiants de connexion, MysteryBot superpose un écran dupliqué sur les applications ciblées afin de leurrer la victime, qui croit les entrer sur le bon service. En réalité, elle les livre au malware, qui sait ce qui a été tapé et dans quel champ. ThreatFabric explique que l’outil détourne les permissions des applications et exploite les services d’accessibilité pour arriver à ses fins.

Pour ThreatFabric, si les caractéristiques de MysteryBot en font un logiciel malveillant inquiétant sur le papier, il n’est pas encore particulièrement menaçant dans les faits. D’abord parce que son développement n’est pas encore achevé, au regard de certains vides capacitaires ; ensuite, parce que sa propagation est limitée. Le risque est en outre atténué si l’usager ne vagabonde pas hors de Google Play.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.